From: Conectiva Updates (secureconectiva.com.br)
Date: Fri Aug 06 2004 - 07:54:04 CDT

• Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

- -------------------------------------------------------------------------
ANÚNCIO DE SEGURANÇA DO CONECTIVA LINUX
- -------------------------------------------------------------------------

PACOTE : libpng
RESUMO : Vulnerabilidades diversas na libpng
DATA : 2004-08-06 09:53:00
ANÚNCIO : CLA-2004:856
EDIÇÕES : 8, 9, 10

- -------------------------------------------------------------------------

DESCRIÇÃO DO PROBLEMA
 libpng[1] é uma biblioteca para manipulação de imagens no formato
 PNG.
 
 Chris Evans encontrou várias vulnerabilidades na libpng que foram
 corrigidas nas novas versões 1.0.16rc1 e 1.2.6rc1:
 
 1. Vulnerabilidades de estouro de buffer[2] que poderiam permitir que
 um atacante remoto executasse código arbitrário através de uma imagem
 PNG maliciosa.
 
 2. Vulnerabilidades de referências ao ponteiro nulo[3] que poderiam
 permitir que um atacante remoto provocasse falhas no funcionamento de
 aplicações que usam a biblioteca.
 
 3. Vulnerabilidades de estouro de inteiros[4] que poderiam permitir
 que um atacante remoto provocasse falhas no funcionamento de
 aplicações que usam a biblioteca.
 
 Os pacotes fornecidos nesta atualização, embora pertençam à lista de
 versões vulneráveis, possuem as devidas correções para estas
 vulnerabilidades aplicadas.

SOLUÇÃO
 É recomendado que todos os usuários do Conectiva Linux atualizem seus
 pacotes.
 
 IMPORTANTE: todas as aplicações que usam a biblioteca libpng precisam
 ser reiniciadas após a atualização para que a falha seja efetivamente
 corrigida. Várias aplicações do sistema utilizam esta biblioteca, em
 particular programas e ambientes gráficos (como KDE e Gnome).
 
 
 REFERÊNCIAS
 1.http://www.libpng.org/pub/png/libpng.html
 2.http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0597
 3.http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0598
 4.http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0599

PACOTES RPM
ftp://atualizacoes.conectiva.com.br/10/SRPMS/libpng-1.0.15-42714U10_1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/10/SRPMS/libpng3-1.2.5-57535U10_1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/10/RPMS/libpng-devel-1.2.5-57535U10_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/10/RPMS/libpng-devel-static-1.2.5-57535U10_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/10/RPMS/libpng-doc-1.2.5-57535U10_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/10/RPMS/libpng10-1.0.15-42714U10_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/10/RPMS/libpng3-1.2.5-57535U10_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/SRPMS/libpng-1.0.14-1U80_1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/8/SRPMS/libpng3-1.2.5-1U80_1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/libpng-1.0.14-1U80_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/libpng-devel-1.2.5-1U80_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/libpng-devel-static-1.2.5-1U80_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/libpng-doc-1.2.5-1U80_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/libpng3-1.2.5-1U80_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/9/SRPMS/libpng-1.0.15-22380U90_1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/9/SRPMS/libpng3-1.2.5-22618U90_1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/9/RPMS/libpng-1.0.15-22380U90_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/9/RPMS/libpng-devel-1.2.5-22618U90_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/9/RPMS/libpng-devel-static-1.2.5-22618U90_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/9/RPMS/libpng-doc-1.2.5-22618U90_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/9/RPMS/libpng3-1.2.5-22618U90_1cl.i386.rpm

INSTRUÇÕES ADICIONAIS
 A ferramenta apt pode ser utilizada para fazer atualizações de
 pacotes RPM:

 - execute: apt-get update
 - seguido por: apt-get upgrade

 Instruções detalhadas de uso do apt e exemplos práticos encontram-se em
 http://distro.conectiva.com.br/atualizacoes/#apt

- -------------------------------------------------------------------------
Todos os pacotes listados aqui também são assinados com a chave GPG da
Conectiva. A chave, bem como instruções de como importá-la, pode ser
encontrada em http://distro.conectiva.com.br/seguranca/chave/.
Instruções para checar a assinatura dos pacotes podem ser encontradas em
http://distro.conectiva.com.br/seguranca/politica/.

- -------------------------------------------------------------------------
Todos os anúncios de atualizações são armazenados e podem ser consultados
na página http://distro.conectiva.com.br/atualizacoes/.
Instruções genéricas para atualizações são fornecidas na mesma página.

- -------------------------------------------------------------------------
A Conectiva possui uma lista pública para discutir assuntos de segurança
relacionados à distribuição. Acesse http://distro.conectiva.com.br/lista/
para obter mais informações.

- -------------------------------------------------------------------------
Copyright (c) 2004 Conectiva S.A.
http://www.conectiva.com.br

- -------------------------------------------------------------------------
cadastramento: atualizacoes-anuncio-subscribepapaleguas.conectiva.com.br
cancelamento: atualizacoes-anuncio-unsubscribepapaleguas.conectiva.com.br
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQFBE39r42jd0JmAcZARAj6sAKDCy/0Aj27zD11agKDIRwys4yzg+wCeORS9
+UeYxaIs0Tpbox4xzDp7MdU=
=AOg5
-----END PGP SIGNATURE-----

--===============2026404733==
Content-Type: text/plain; charset="iso-8859-1"
MIME-Version: 1.0
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

__________________________________________________________________________
cadastramento: atualizacoes-anuncio-subscribepapaleguas.conectiva.com.br
cancelamento: atualizacoes-anuncio-unsubscribepapaleguas.conectiva.com.br
--===============2026404733==--

• Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]