GLSA 200411-08: GD: Integer overflow
| Опасность: | средняя |
| Заголовок: | GD: Integer overflow |
| Дата: | 03.11.2004 |
| Ошибки: | |
| ID: | 200411-08 |
Сводка
The PNG image decoding routines in the GD library contain an integer overflow that may allow execution of arbitrary code with the rights of the program decoding a malicious PNG image.Назначение
The GD graphics library is an open source library which allows programmers to easily generate PNG, JPEG, GIF and WBMP images from many different programming languages.
Уязвимые пакеты
| Пакет | Уязвимый | Нетронутый | Архитектура(ы) |
|---|---|---|---|
| media-libs/gd | < 2.0.32 | >= 2.0.32 | All supported architectures |
Описание
infamous41md found an integer overflow in the memory allocation procedure of the GD routine that handles loading PNG image files.
Воздействие
A remote attacker could entice a user to load a carefully crafted PNG image file in a GD-powered application, or send a PNG image to a web application which uses GD PNG decoding functions. This could potentially lead to execution of arbitrary code with the rights of the program loading the image.
Обход
There is no known workaround at this time.
Решение
All GD users should upgrade to the latest version:
# emerge --sync
# emerge --ask --oneshot --verbose ">=media-libs/gd-2.0.32"
Ссылки
Наличие
Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security:
Опасения?
Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.
Лицензия
Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.