Säkerhetsbulletin från Debian

DSA-3399-1 libpng -- säkerhetsuppdatering

Rapporterat den:
2015-11-18
Berörda paket:
libpng
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 803078, Fel 805113.
I Mitres CVE-förteckning: CVE-2015-7981, CVE-2015-8126.
Ytterligare information:

Flera sårbarheter har upptäckts i PNG-biblioteket libpng. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2015-7981

    Qixue Xiao upptäckte en sårbarhet för läsning utanför gränserna i funktionen png_convert_to_rfc1123. En fjärrangripare kan potentiellt dra fördel av denna brist för att orsaka ett avslöjande av information från processminne.

  • CVE-2015-8126

    Flera buffertspill har upptäckts i funktionerna png_set_PLTE och png_get_PLTE. En fjärrangripare kan dra fördel av denna brist för att orsaka en överbelastning (applikationskrasch) via en liten bitdjupsvärde i en IHDR (image header) chunk i en PNG-bild.

För den gamla stabila utgåvan (Wheezy) har dessa problem rättats i version 1.2.49-1+deb7u1.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 1.2.50-2+deb8u1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 1.2.54-1.

Vi rekommenderar att ni uppgraderar era libpng-paket.