Debians sikkerhedsbulletin

DSA-3443-1 libpng -- sikkerhedsopdatering

Rapporteret den:
13. jan 2016
Berørte pakker:
libpng
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 807112, Fejl 807694.
I Mitres CVE-ordbog: CVE-2015-8472, CVE-2015-8540.
Yderligere oplysninger:

Flere sårbarheder er opdaget i PNG-biblioteket libpng. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

  • CVE-2015-8472

    Man opdagede at den oprindelige rettelse af CVE-2015-8126 var ufuldstændig og ikke opdagede et potentielt overløb i applikationer, som anvender png_set_PLTE direkte. En fjernangriber kunne udnytte fejlen til at forårsage et lammelsesangreb (applikationsnedbrud).

  • CVE-2015-8540

    Xiao Qixue og Chen Yu opdagede en fejl i funktionen png_check_keyword. En fjernangriber kunne potentielt udnytte fejlen til at forårsage et lammeslesangreb (applikationsnedbrud).

I den gamle stabile distribution (wheezy), er disse problemer rettet i version 1.2.49-1+deb7u2.

I den stabile distribution (jessie), er disse problemer rettet i version 1.2.50-2+deb8u2.

Vi anbefaler at du opgraderer dine libpng-pakker.