Säkerhetsbulletin från Debian

DSA-3215-1 libgd2 -- säkerhetsuppdatering

Rapporterat den:
2015-04-06
Berörda paket:
libgd2
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 744719.
I Mitres CVE-förteckning: CVE-2014-2497, CVE-2014-9709.
Ytterligare information:

Flera sårbarheter har upptäckts i libgd2, ett grafikbibliotek:

  • CVE-2014-2497

    Funktionen gdImageCreateFromXpm() försökte att dereferera en NULL-pekare vid läsning av en XPM-fil med en speciell färgtabell. Detta kunde tillåta fjärrangripare att orsaka en överbelastning (krasch) via skapade XPM-filer.

  • CVE-2014-9709

    Import av en ogiltig GIF-fil med hjälp av funktionen gdImageCreateFromGif() orsakade ett läsningsbuffertspill som kunde tillåta fjärrangripare att orsaka en överbelastning (krasch) via skapade GIF-filer.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 2.0.36~rc1~dfsg-6.1+deb7u1.

För den kommande stabila utgåvan (Jessie) har dessa problem rättats i version 2.1.0-5.

För den instabila utgåvan (Sid) har dessa problem rättats i version 2.1.0-5.

Vi rekommenderar att ni uppgraderar era libgd2-paket.