Säkerhetsbulletin från Debian

DSA-3556-1 libgd2 -- säkerhetsuppdatering

Rapporterat den:
2016-04-24
Berörda paket:
libgd2
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 822242.
I Mitres CVE-förteckning: CVE-2016-3074.
Ytterligare information:

Hans Jerry Illikainen upptäckte att libdg2, ett bibliotek för programmatiskt grafikskapande och manipulation, lider av en signednesssårbarhet som kan resultera i ett heapbaserat bufferspill vid behandling av speciellt skapad komprimerad gd2-data. En fjärrangripare kan dra fördel av denna brist för att orsaka att ett program som använder sig av libgd2-biblioteket kraschar, eller potentiellt köra godtycklig kod med samma rättigheter som användaren som kör applikationen.

För den gamla stabila utgåvan (Wheezy) har detta problem rättats i version 2.0.36~rc1~dfsg-6.1+deb7u2.

För den stabila utgåvan (Jessie) har detta problem rättats i version 2.1.0-5+deb8u1.

För den instabila utgåvan (Sid) har detta problem rättats i version 2.1.1-4.1.

Vi rekommenderar att ni uppgraderar era libgd2-paket.