セキュリティ情報 / 2011 / セキュリティ情報 -- DSA-2287-1 libpng

Debian セキュリティ勧告

DSA-2287-1 libpng -- 複数の脆弱性

報告日時:

2011-07-28

影響を受けるパッケージ:

libpng

危険性:

あり

参考セキュリティデータベース:

Debian バグ追跡システム: バグ 632786, バグ 633871.
Mitre の CVE 辞書: CVE-2011-2501, CVE-2011-2690, CVE-2011-2691, CVE-2011-2692.

詳細:

PNG ライブラリ libpng に複数の欠陥による影響があります。その中で最も 致命的な欠陥は CVE-2011-2690 として認識されているもので、攻撃者はこの欠陥の悪用により細工した PNG 画像を用いて好きなサイズのメモリの上 書きを行うことが可能です。

他の欠陥はこれよりは致命的ではありませんが、攻撃者からの細工した PNG ファイルを用いたプログラムのクラッシュ (サービス拒否攻撃) が可能です。

旧安定版 (oldstable) ディストリビューション (lenny) では、この問題は バージョン 1.2.27-2+lenny5 で修正されています。Debian アーカイブでの 技術的な制限のため、Squeeze の更新版のパッケージは同時リリースできま せん。これらは今後速やかにリリース予定です。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバー ジョン 1.2.44-1+squeeze1 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバー ジョン 1.2.46-1 で修正されています。

直ぐに libpng パッケージをアップグレードすることを勧めます。