DSA 140-1 Az új libpng csomagok javítják a puffertúlcsordulást

Bug

Csomag: libpng2, libpng3

Támadhatóság: puffer-túlcsordulás

Probléma-típus: távoli

Debian-specifikus: nem



A PNG könyvtár fejlesztői kijavították a puffer-túlcsordulási hibát a progresszív olvasójában, ami akkor jön elő, ha a PNG adatfolyam több IDAT adatot tartalmaz mint amennyit az "IHDR chunk" jelez. Ilyen előkészített helytelen adatfolyamok összeomlasztják az alkalmazást, ami esetleg lehetővé teszi a támadó számra, hogy szabotáló kódot futtasson. Az olyan programok, mint a Galeon, Konqueror és számos más egyéb program használják ezeket a könyvtárakat.Hogy megtudd, hogy mely csomagok függenek ettől a könyvtártól futtasd a következő parancsokat: 

    apt-cache showpkg libpng2
    apt-cache showpkg libpng3

A probléma az 1.0.12-3.woody.1 verziójú libpng-ben és az 1.2.1-1.1.woody.1 verziójú libpng3-ban van javítva az aktuális stabil disztribúcióban (woody) és az 1.0.12-4 verziójú libpngben valamint az 1.2.1-2 verziójú libpng3-ban van javítva az unstable disztribúcióban (sid).



Javasoljuk, hogy azonnal frissítsd a libpng csomagjaid és indítsd újra azokat a programokat, és démonokat, amelyek ezekhez a könyvtárakhoz vannak szerkesztve és külső forrásból olvasnak adatokat, úgy mint pl. a web-borzolók.



A frissítés mikéntjéről lásd a FAQ-t.

Úgy tűnik, hogy a potato-ban levő verziók nem támadhatók.

Minthogy, most lassan gépeltem, már megtalálható Martin Schultze bejelentése a debian-security archívumában :-).