Bulletin d'alerte Debian

DLA-343-1 libpng -- Mise à jour de sécurité pour LTS

Date du rapport :
17 novembre 2015
Paquets concernés :
libpng
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2012-3425, CVE-2015-7981, CVE-2015-8126.
Plus de précisions :
  • CVE-2015-7981

    Ajout d'une vérification de sécurité dans png_set_tIME() (bogue rapporté par Qixue Xiao).

  • CVE-2015-8126

    Plusieurs dépassements de tampons dans les fonctions (1) png_set_PLTE et (2) png_get_PLTE dans libpng avant les versions 1.0.64, 1.1.x et 1.2.x avant 1.2.54, 1.3.x et 1.4.x avant 1.4.17, 1.5.x avant 1.5.24, et 1.6.x avant 1.6.19 permet à des attaquants distants de provoquer un déni de service (plantage de l'application) ou éventuellement avoir un autre impact inconnu à l'aide d'une faible valeur de profondeur de bits dans le segment d'en-tête d'image (IHDR) d'une image PNG.

  • CVE-2012-3425

    Le code vulnérable n'est pas présent.