Entwickler der PNG-Bibliothek haben einen Pufferüberlauf in jenem Code gefunden, der vorausliest, wenn der PNG-Datenstrom mehr IDAT-Daten enthält, als im IHDR-Satz angezeigt wurde. Solch absichtlich missgebildete Datenströme könnten Anwendungen abstürzen lassen, was möglicherweise einem Angreifer die Ausführung von beliebigem Code erlauben könnte. Programme wie Galeon, Konqueror und viele andere verwenden diese Bibliotheken.
Zusätzlich dazu beheben die unten angeführten Pakete einen weiteren potenziellen Pufferüberlauf. Die PNG-Bibliotheken implementieren eine Sicherheitsspanne, die ebenfalls in einer neueren Upstream-Release enthalten ist. Danke an Glenn Randers-Pehrson, der uns darüber informiert hat.
Um herauszufinden, welche Pakete von dieser Bibliothek abhängig sind, möchten Sie eventuell die folgenden Befehle ausführen:
apt-cache showpkg libpng2
apt-cache showpkg libpng3
Dieses Problem wurde in Version 1.0.12-3.woody.2 von libpng und Version 1.2.1-1.1.woody.2 von libpng3 für die aktuelle stable Distribution (Woody) sowie in Version 1.0.12-4 und Version 1.2.1-2 von libpng3 für die unstable Distribution (Sid) behoben. Das Potato-Release von Debian dürfte nicht verwundbar sein.
Wir empfehlen Ihnen, Ihre libpng-Pakete unverzüglich zu aktualisieren und die Programme und Daemonen neu zu starten, die diese Bibliotheken verwenden und externe Daten lesen, wie zum Beispiel Web-Browser.
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.