[Fedora] Schwachstelle in der Bibliothek libpng – FEDORA-2010-2988

[Fedora] Schwachstelle in der Bibliothek libpng - FEDORA-2010-2988

Von

—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

CVE-2010-0205 – Schwachstelle in der Funktion png_decompress_chunk() in
der Bibliothek libpng

Die Funktion png_decompress_chunk() (aus:pngrutil.c) in der Bibliothek
libpng vor den Versionen 1.4.1, 1.2.43 und 1.0.53 behandelt
komprimierte ‘ancillary-chunk’ Daten die unkomprimiert eine
ueberproportionale Groesse haben nicht richtig. Mit einer entsprechend
aufgebauten PNG Datei kann die Anwendung durch Aufzehren von Speicher-
und CPU-Zeit zum Stillstand gebracht werden. Ein entfernter Angreifer
kann diese Schwachstelle zu einem Denial-of-Service ausnutzen.

Betroffen sind die folgenden Software Pakete und Plattformen:

Paket libpng10

Fedora 13

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

Hersteller Advisory:
http://lists.fedoraproject.org/pipermail/package-announce/2010-March/037237.html

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Detlev O. Matthies

– —

Detlev O. Matthies, M.Sc. (Incident Response Team)

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

Automatische Warnmeldungen https://www.cert.dfn.de/autowarn

– ——————————————————————————–
Fedora Update Notification
FEDORA-2010-2988
2010-02-26 11:46:29
– ——————————————————————————–

Name : libpng10
Product : Fedora 13
Version : 1.0.53
Release : 1.fc13
URL : http://www.libpng.org/pub/png/libpng.html
Summary : Old version of libpng, needed to run old binaries
Description :
The libpng10 package contains an old version of libpng, a library of functions
for creating and manipulating PNG (Portable Network Graphics) image format
files.

This package is needed if you want to run binaries that were linked dynamically
with libpng 1.0.x.

– ——————————————————————————–
Update Information:

This is the latest upstream maintenance release. In addition to a number of
minor bugfixes, it mitigates the resource-consumption effects of highly
compressed ancillary chunks in hostile PNG files as described at
http://libpng.sourceforge.net/ADVISORY-1.4.1.html This issue has been
assigned CVE-2010-0205 by CERT.
– ——————————————————————————–
References:

[ 1 ] Bug #566234 – CVE-2010-0205 libpng: excessive memory consumption due to highly compressed huge ancillary chunk
https://bugzilla.redhat.com/show_bug.cgi?id=566234
– ——————————————————————————–

This update can be installed with the “yum” update program. Use
su -c ‘yum update libpng10’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.

All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
– ——————————————————————————–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.2 (GNU/Linux)

iD8DBQFLni4pWmhIvjFb90URAvdAAJ46IYm7xyZ1auwCZCSHud7MT6W0aACdESC7
JvsA/bzY1LQY9N5hUNtxCII=
=R+wY
—–END PGP SIGNATURE—–

© COMPUTEC MEDIA GmbH
Nach oben