Los desarrolladores de la biblioteca PNG han corregido un desbordamiento de búfer en el lector progresivo cuando el flujo de datos PNG contenía más datos IDAT de los indicados por la cantidad de IHDR. Tales flujos de datos, deliberadamente incorrectos, podía hacer caer aplicaciones, lo que podía potencialmente permitir a un atacante ejecutar código malicioso. Programas como Galeon, Konqueror y varios otros usan estas bibliotecas.
Además de esto, los paquetes de abajo corrigen otro desbordamiento de búfer potencial. Las bibliotecas PNG implementan un margen de seguridad que también se incluye en una nueva versión del autor. Gracias a Glenn Randers-Pehrson por informarnos.
Para averiguar de qué paquetes depende esta biblioteca, puede querer ejecutar los siguientes comandos:
apt-cache showpkg libpng2
apt-cache showpkg libpng3
Este problema ha sido corregido en la versión 1.0.12-3.woody.2 de libpng y en la versión 1.2.1-1.1.woody.2 de libpng3 para la distribución estable actual (woody) y en la versión 1.0.12-4 de libpng y en la versión 1.2.1-2 de libpng3 para la distribución inestable (sid). La versión Debian potato no parece ser vulnerable.
Le recomendamos que actualice sus paquetes libpng inmediatamente y reinicie los programas y demonios que están enlazados con estas bibliotecas y lean datos externos, como navegadores web.
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.