Bulletin d'alerte Debian

DSA-140-2 libpng -- Débordement de tampon

Date du rapport :
5 août 2002
Paquets concernés :
libpng, libpng3
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2002-0660, CVE-2002-0728.
Plus de précisions :

Les développeurs de la bibliothèque PNG ont corrigé un débordement de tampon dans le « progressive reader », lorsque le flux de données PNG contient plus de données IDAT que ce qu'indique le bloc IHDR. De telles malformations des flux de données provoqueront le plantage de l'application, ce qui peut potentiellement permettre à un assaillant d'exécuter un code néfaste. Des programmes tels que Galeon, Konqueror et une multitudes d'autres qui emploient ces bibliothèques.

En plus de cette correction, les paquets ci-dessous corrigent un autre débordement de tampon. Les bibliothèques PNG intègrent une marge sécurisée qui est aussi inclue dans une nouvelle version des sources. Merci à Glenn Randers-Pehrson de nous avoir informé.

Pour savoir quels paquets dépendent de cette bibliothèque, vous pourrez lancer les commandes suivantes :

    
	apt-cache showpkg libpng2
	apt-cache showpkg libpng3

Ce problème a été corrigé dans la version 1.0.12-3.woody.2 de libpng et la version 1.2.1-1.1.woody.2 de libpng3 pour l'actuelle distribution stable (Woody) et dans la version 1.0.12-4 de libpng et la version 1.2.1-2 de libpng3 de libpng3 pour la distribution unstable (Sid). La distribution Potato ne semble pas être touchée par cette faille.

Nous vous recommandons de mettre à jour vos paquets libpng immédiatement et de relancer les programmes et les démons qui sont liés avec ces bibliothèques et lisent de données externes, tel que les navigateurs Internet.

Corrigé dans :

Debian GNU/Linux 3.0 (woody)

Source :
http://security.debian.org/pool/updates/main/libp/libpng/libpng_1.0.12-3.woody.2.dsc
http://security.debian.org/pool/updates/main/libp/libpng/libpng_1.0.12-3.woody.2.diff.gz
http://security.debian.org/pool/updates/main/libp/libpng/libpng_1.0.12.orig.tar.gz
http://security.debian.org/pool/updates/main/libp/libpng3/libpng3_1.2.1-1.1.woody.2.dsc
http://security.debian.org/pool/updates/main/libp/libpng3/libpng3_1.2.1-1.1.woody.2.diff.gz
http://security.debian.org/pool/updates/main/libp/libpng3/libpng3_1.2.1.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/libp/libpng3/libpng-dev_1.2.1-1.1.woody.2_alpha.deb
http://security.debian.org/pool/updates/main/libp/libpng/libpng2_1.0.12-3.woody.2_alpha.deb
http://security.debian.org/pool/updates/main/libp/libpng/libpng2-dev_1.0.12-3.woody.2_alpha.deb
http://security.debian.org/pool/updates/main/libp/libpng3/libpng3_1.2.1-1.1.woody.2_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/libp/libpng3/libpng-dev_1.2.1-1.1.woody.2_arm.deb
http://security.debian.org/pool/updates/main/libp/libpng/libpng2_1.0.12-3.woody.2_arm.deb
http://security.debian.org/pool/updates/main/libp/libpng/libpng2-dev_1.0.12-3.woody.2_arm.deb
http://security.debian.org/pool/updates/main/libp/libpng3/libpng3_1.2.1-1.1.woody.2_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/libp/libpng3/libpng-dev_1.2.1-1.1.woody.2_i386.deb
http://security.debian.org/pool/updates/main/libp/libpng/libpng2_1.0.12-3.woody.2_i386.deb
http://security.debian.org/pool/updates/main/libp/libpng/libpng2-dev_1.0.12-3.woody.2_i386.deb
http://security.debian.org/pool/updates/main/libp/libpng3/libpng3_1.2.1-1.1.woody.2_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/libp/libpng3/libpng-dev_1.2.1-1.1.woody.2_ia64.deb
http://security.debian.org/pool/updates/main/libp/libpng/libpng2_1.0.12-3.woody.2_ia64.deb
http://security.debian.org/pool/updates/main/libp/libpng/libpng2-dev_1.0.12-3.woody.2_ia64.deb
http://security.debian.org/pool/updates/main/libp/libpng3/libpng3_1.2.1-1.1.woody.2_ia64.deb
HP Precision:
http://security.debian.org/pool/updates/main/libp/libpng3/libpng-dev_1.2.1-1.1.woody.2_hppa.deb
http://security.debian.org/pool/updates/main/libp/libpng/libpng2_1.0.12-3.woody.2_hppa.deb
http://security.debian.org/pool/updates/main/libp/libpng/libpng2-dev_1.0.12-3.woody.2_hppa.deb
http://security.debian.org/pool/updates/main/libp/libpng3/libpng3_1.2.1-1.1.woody.2_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/libp/libpng3/libpng-dev_1.2.1-1.1.woody.2_m68k.deb
http://security.debian.org/pool/updates/main/libp/libpng/libpng2_1.0.12-3.woody.2_m68k.deb
http://security.debian.org/pool/updates/main/libp/libpng/libpng2-dev_1.0.12-3.woody.2_m68k.deb
http://security.debian.org/pool/updates/main/libp/libpng3/libpng3_1.2.1-1.1.woody.2_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/libp/libpng3/libpng-dev_1.2.1-1.1.woody.2_mips.deb
http://security.debian.org/pool/updates/main/libp/libpng/libpng2_1.0.12-3.woody.2_mips.deb
http://security.debian.org/pool/updates/main/libp/libpng/libpng2-dev_1.0.12-3.woody.2_mips.deb
http://security.debian.org/pool/updates/main/libp/libpng3/libpng3_1.2.1-1.1.woody.2_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/libp/libpng3/libpng-dev_1.2.1-1.1.woody.2_mipsel.deb
http://security.debian.org/pool/updates/main/libp/libpng/libpng2_1.0.12-3.woody.2_mipsel.deb
http://security.debian.org/pool/updates/main/libp/libpng/libpng2-dev_1.0.12-3.woody.2_mipsel.deb
http://security.debian.org/pool/updates/main/libp/libpng3/libpng3_1.2.1-1.1.woody.2_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/libp/libpng3/libpng-dev_1.2.1-1.1.woody.2_powerpc.deb
http://security.debian.org/pool/updates/main/libp/libpng/libpng2_1.0.12-3.woody.2_powerpc.deb
http://security.debian.org/pool/updates/main/libp/libpng/libpng2-dev_1.0.12-3.woody.2_powerpc.deb
http://security.debian.org/pool/updates/main/libp/libpng3/libpng3_1.2.1-1.1.woody.2_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/libp/libpng3/libpng-dev_1.2.1-1.1.woody.2_s390.deb
http://security.debian.org/pool/updates/main/libp/libpng/libpng2_1.0.12-3.woody.2_s390.deb
http://security.debian.org/pool/updates/main/libp/libpng/libpng2-dev_1.0.12-3.woody.2_s390.deb
http://security.debian.org/pool/updates/main/libp/libpng3/libpng3_1.2.1-1.1.woody.2_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/libp/libpng3/libpng-dev_1.2.1-1.1.woody.2_sparc.deb
http://security.debian.org/pool/updates/main/libp/libpng/libpng2_1.0.12-3.woody.2_sparc.deb
http://security.debian.org/pool/updates/main/libp/libpng/libpng2-dev_1.0.12-3.woody.2_sparc.deb
http://security.debian.org/pool/updates/main/libp/libpng3/libpng3_1.2.1-1.1.woody.2_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.