Рекомендация Debian по безопасности

DSA-3443-1 libpng -- обновление безопасности

Дата сообщения:
13.01.2016
Затронутые пакеты:
libpng
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 807112, Ошибка 807694.
В каталоге Mitre CVE: CVE-2015-8472, CVE-2015-8540.
Более подробная информация:

В libpng, библиотеке, реализующей поддержку PNG, было обнаружено несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

  • CVE-2015-8472

    Было обнаружено, что изначальное исправление для CVE-2015-8126 было неполным, оно не определяет потенциальной перегрузки, вызываемой приложениями, напрямую использующими функцию png_set_PLTE. Удалённый злоумышленник может использовать данную уязвимость для вызова отказа в обслуживании (аварийное завершение работы приложения).

  • CVE-2015-8540

    Сяо Цисюэ и Чэнь Юй обнаружили уязвимость в функции png_check_keyword. Удалённый злоумышленник потенциально может использовать эту уязвимость для вызова отказа в обслуживании (аварийное завершение работы приложения).

В предыдущем стабильном выпуске (wheezy) эти проблемы были исправлены в версии 1.2.49-1+deb7u2.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 1.2.50-2+deb8u2.

Рекомендуется обновить пакеты libpng.