Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:N/I:N/A:C)
Производитель ПО
Наименование ПО
Описание
Пакет libpng включает в себя библиотеку функций, которые используются для создания и управления файлами изображений в формате PNG (Portable Network Graphics).
Уязвимость, связанная с ошибками использования памяти, обнаружена при декодировании некоторых PNG-изображений приложениями, которые используют библиотеку libpng и ее progressive reading method. Злоумышленник может создать специально сформированное PNG-изображение, которое позволяет вызвать отказ в обслуживании приложения, использующего библиотеку libpng, или выполнить произвольный код с привилегиями пользователя, который запустил это приложение, если такое изображение будет открыто. (CVE-2010-1205)
Уязвимость, связанная с отказом в обслуживании, обнаружена при декодировании PNG-изображений, у которых некоторые вспомогательные части данных сильно сжаты, в приложениях, использующих библиотеку libpng. Злоумышленник может создать специально сформированное PNG-изображение, которое позволяет вызвать ситуацию, когда приложение, использующее libpng, потребляет слишком много ресурсов памяти и процессора, и приводит к аварийному завершению работы. (CVE-2010-0205)
Уязвимость, связанная с утечкой памяти, обнаружена при декодировании PNG-изображений, которые используют расширение Physical Scale (sCAL), в приложениях, использующих библиотеку libpng. Злоумышленник может создать специально сформированное PNG-изображение, которое заставит такое приложение использовать слишком большое количество доступной памяти, что приведет к аварийному завершению работы. (CVE-2010-2249)
Уязвимость, связанная с разглашением важных данных, обнаружена при обработке PNG-изображений с 1-битовой построчной разверткой (1-bit interlaced) в приложениях, использующих библиотеку libpng. Злоумышленник может создать специально сформированное PNG-изображение, которое приведет к тому, что приложение, использующее libpng, позволит получить доступ к неинициализированной памяти. (CVE-2009-2042)
Пользователям libpng и libpng10 рекомендуется обновить программное обеспечение, чтобы избавиться от указанной проблемы. Все запущенные приложения, которые используют libpng или libpng10, необходимо перезагрузить, чтобы изменения вступили в силу.
Уязвимость, связанная с ошибками использования памяти, обнаружена при декодировании некоторых PNG-изображений приложениями, которые используют библиотеку libpng и ее progressive reading method. Злоумышленник может создать специально сформированное PNG-изображение, которое позволяет вызвать отказ в обслуживании приложения, использующего библиотеку libpng, или выполнить произвольный код с привилегиями пользователя, который запустил это приложение, если такое изображение будет открыто. (CVE-2010-1205)
Уязвимость, связанная с отказом в обслуживании, обнаружена при декодировании PNG-изображений, у которых некоторые вспомогательные части данных сильно сжаты, в приложениях, использующих библиотеку libpng. Злоумышленник может создать специально сформированное PNG-изображение, которое позволяет вызвать ситуацию, когда приложение, использующее libpng, потребляет слишком много ресурсов памяти и процессора, и приводит к аварийному завершению работы. (CVE-2010-0205)
Уязвимость, связанная с утечкой памяти, обнаружена при декодировании PNG-изображений, которые используют расширение Physical Scale (sCAL), в приложениях, использующих библиотеку libpng. Злоумышленник может создать специально сформированное PNG-изображение, которое заставит такое приложение использовать слишком большое количество доступной памяти, что приведет к аварийному завершению работы. (CVE-2010-2249)
Уязвимость, связанная с разглашением важных данных, обнаружена при обработке PNG-изображений с 1-битовой построчной разверткой (1-bit interlaced) в приложениях, использующих библиотеку libpng. Злоумышленник может создать специально сформированное PNG-изображение, которое приведет к тому, что приложение, использующее libpng, позволит получить доступ к неинициализированной памяти. (CVE-2009-2042)
Пользователям libpng и libpng10 рекомендуется обновить программное обеспечение, чтобы избавиться от указанной проблемы. Все запущенные приложения, которые используют libpng или libpng10, необходимо перезагрузить, чтобы изменения вступили в силу.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
https://rhn.redhat.com/errata/RHSA-2010-0534.html
https://rhn.redhat.com/errata/RHSA-2010-0534.html
Ссылки
https://rhn.redhat.com/errata/RHSA-2010-0534.html
CVE (CVE-2009-2042): https://www.redhat.com/security/data/cve/CVE-2009-2042.html
CVE (CVE-2010-0205): https://www.redhat.com/security/data/cve/CVE-2010-0205.html
CVE (CVE-2010-1205): https://www.redhat.com/security/data/cve/CVE-2010-1205.html
CVE (CVE-2010-2249): https://www.redhat.com/security/data/cve/CVE-2010-2249.html
BUGZILLA (504782): http://bugzilla.redhat.com/504782
BUGZILLA (566234): http://bugzilla.redhat.com/566234
BUGZILLA (608238): http://bugzilla.redhat.com/608238
BUGZILLA (608644): http://bugzilla.redhat.com/608644
Источник: CVE
Наименование: CVE-2009-2042
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2042
Источник: CVE
Наименование: CVE-2010-0205
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0205
Источник: CVE
Наименование: CVE-2010-1205
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1205
Источник: CVE
Наименование: CVE-2010-2249
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2249
CVE (CVE-2009-2042): https://www.redhat.com/security/data/cve/CVE-2009-2042.html
CVE (CVE-2010-0205): https://www.redhat.com/security/data/cve/CVE-2010-0205.html
CVE (CVE-2010-1205): https://www.redhat.com/security/data/cve/CVE-2010-1205.html
CVE (CVE-2010-2249): https://www.redhat.com/security/data/cve/CVE-2010-2249.html
BUGZILLA (504782): http://bugzilla.redhat.com/504782
BUGZILLA (566234): http://bugzilla.redhat.com/566234
BUGZILLA (608238): http://bugzilla.redhat.com/608238
BUGZILLA (608644): http://bugzilla.redhat.com/608644
Источник: CVE
Наименование: CVE-2009-2042
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2042
Источник: CVE
Наименование: CVE-2010-0205
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0205
Источник: CVE
Наименование: CVE-2010-1205
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1205
Источник: CVE
Наименование: CVE-2010-2249
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2249