Säkerhetsbulletin från Debian

DSA-3443-1 libpng -- säkerhetsuppdatering

Rapporterat den:
2016-01-13
Berörda paket:
libpng
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 807112, Fel 807694.
I Mitres CVE-förteckning: CVE-2015-8472, CVE-2015-8540.
Ytterligare information:

Flera sårbarheter har upptäckts i PNG-biblioteket libpng. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2015-8472

    Man har upptäckt att den ursprungliga rättningen av CVE-2015-8126 var ofullständig och detekterade inte ett potentiellt spill i applikationer som använder png_set_PLTE direkt. En fjärrangripare kan dra fördel av denna brist för att orsaka en överbelastning (applikationskrasch).

  • CVE-2015-8540

    Xiao Qixue och Chen Yu upptäckte en brist i funktionen png_check_keyword. En fjärrangripare kan dra fördel av denna brist för att orsaka en överbelastning (applikationskrasch).

För den gamla stabila utgåvan (Wheezy) har dessa problem rättats i version 1.2.49-1+deb7u2.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 1.2.50-2+deb8u2.

Vi rekommenderar att ni uppgraderar era libpng-paket.