Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Haavoittuvuudet > 2004 > CERT-FI haavoittuvuustiedote 056/2004

CERT-FI haavoittuvuustiedote 056/2004

Palvelimet ja palvelinsovellukset Työasemat ja loppukäyttäjäsovellukset Verkon aktiivilaitteet Matkaviestimet Sulautetut järjestelmät Muut

5.8.2004

Haavoittuvuuksia libpng-ohjelmakirjastossa

     
Kohde: - palvelimet ja palvelinsovellukset
- työasemat ja loppukäyttäjäsovellukset
Lisätietoja
Hyökkäystapa: - ilman kirjautumista
- etäkäyttö
- ilman käyttäjän toimia
Lisätietoja
Hyväksikäyttö: - komentojen mielivaltainen suorittaminen
Lisätietoja
Ratkaisu: - korjaava ohjelmistopäivitys
Lisätietoja

PNG on suosittu digitaalisten kuvien tallennusformaatti. Useat, erityisesti Unix/Linux -ympäristöissä käytetyt ohjelmistot käyttävät PNG-tallennusformaatin tukemiseen libpng-ohjelmakirjastoa.

Libpng-ohjelmakirjastosta on löydetty useita haavoittuvuuksia, joista vakavin mahdollistaa hyökkääjän oman ohjelmakoodin ajamisen kohdetietojärjestelmässä avattaessa vihamielisesti laadittu PNG-kuvatiedosto.

HAAVOITTUVAT OHJELMISTOT:

Ohjelmistot, joiden PNG-tuki on toteutettu libpng-kirjaston versiota 1.2.6rc1 vanhemmalla versiolla. Libpng-kirjasto on käytössä ainakin seuraavissa ohjelmistoissa:

abiword, analog, apache, autotrace, blender, cups, emacs, firefox, gd, gdk-pixbuf, ghostscript-esp, gif2png, gimp, gnuplot, gqview, graphviz, gtk2, imagemagick, imlib, latex2html, lbreakout, libwmf, mozilla, mplayer, mrtg, nagios, netpbm, perl-tk, php, php3, php5, povray, pstoedit, rrdtool, scribus, tetex, transfig, webalizer, wml, wv, wx, xemacs, xfig, xine-u,i xplanet, xv, zimg

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

  • Päivitä libpng-kirjasto versioon 1.2.6rc1

  • Päivitä tai käännä uudestaan staattisesti libpng-kirjastoon linkitetty ohjelmisto haavoittumattomaan versioon

LISÄTIETOA:

http://www.us-cert.gov/cas/techalerts/TA04-217A.html
http://scary.beasts.org/security/CESA-2004-001.txt
http://www.libpng.org/pub/png/
http://www.openpkg.org/security/OpenPKG-SA-2004.035-png.html

CAN-2004-0597 CAN-2004-0598 CAN-2004-0599

PÄIVITYSHISTORIA:

05.08.2004: Julkaistu
Sivua päivitetty 27.07.2007   Tulostusversio Tulostusversio