• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Бюллетень безопасности RHSA-2010:0534-01

Главная Специалистам База уязвимостей Бюллетень безопасности RHSA-2010:0534-01

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:N/I:N/A:C)
Производитель ПО
Наименование ПО
libpng (any) libpng10 (any) libpng10-devel (any) libpng-devel (any)
Описание
Пакет libpng включает в себя библиотеку функций, которые используются для создания и управления файлами изображений в формате PNG (Portable Network Graphics).
Уязвимость, связанная с ошибками использования памяти, обнаружена при декодировании некоторых PNG-изображений приложениями, которые используют библиотеку libpng и ее progressive reading method. Злоумышленник может создать специально сформированное PNG-изображение, которое позволяет вызвать отказ в обслуживании приложения, использующего библиотеку libpng, или выполнить произвольный код с привилегиями пользователя, который запустил это приложение, если такое изображение будет открыто. (CVE-2010-1205)
Уязвимость, связанная с отказом в обслуживании, обнаружена при декодировании PNG-изображений, у которых некоторые вспомогательные части данных сильно сжаты, в приложениях, использующих библиотеку libpng. Злоумышленник может создать специально сформированное PNG-изображение, которое позволяет вызвать ситуацию, когда приложение, использующее libpng, потребляет слишком много ресурсов памяти и процессора, и приводит к аварийному завершению работы. (CVE-2010-0205)
Уязвимость, связанная с утечкой памяти, обнаружена при декодировании PNG-изображений, которые используют расширение Physical Scale (sCAL), в приложениях, использующих библиотеку libpng. Злоумышленник может создать специально сформированное PNG-изображение, которое заставит такое приложение использовать слишком большое количество доступной памяти, что приведет к аварийному завершению работы. (CVE-2010-2249)
Уязвимость, связанная с разглашением важных данных, обнаружена при обработке PNG-изображений с 1-битовой построчной разверткой (1-bit interlaced) в приложениях, использующих библиотеку libpng. Злоумышленник может создать специально сформированное PNG-изображение, которое приведет к тому, что приложение, использующее libpng, позволит получить доступ к неинициализированной памяти. (CVE-2009-2042)
Пользователям libpng и libpng10 рекомендуется обновить программное обеспечение, чтобы избавиться от указанной проблемы. Все запущенные приложения, которые используют libpng или libpng10, необходимо перезагрузить, чтобы изменения вступили в силу.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
https://rhn.redhat.com/errata/RHSA-2010-0534.html
Ссылки
https://rhn.redhat.com/errata/RHSA-2010-0534.html
CVE (CVE-2009-2042): https://www.redhat.com/security/data/cve/CVE-2009-2042.html
CVE (CVE-2010-0205): https://www.redhat.com/security/data/cve/CVE-2010-0205.html
CVE (CVE-2010-1205): https://www.redhat.com/security/data/cve/CVE-2010-1205.html
CVE (CVE-2010-2249): https://www.redhat.com/security/data/cve/CVE-2010-2249.html
BUGZILLA (504782): http://bugzilla.redhat.com/504782
BUGZILLA (566234): http://bugzilla.redhat.com/566234
BUGZILLA (608238): http://bugzilla.redhat.com/608238
BUGZILLA (608644): http://bugzilla.redhat.com/608644

Источник: CVE
Наименование: CVE-2009-2042
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2042

Источник: CVE
Наименование: CVE-2010-0205
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0205

Источник: CVE
Наименование: CVE-2010-1205
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1205

Источник: CVE
Наименование: CVE-2010-2249
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2249