Udviklere af PNG-biblioteket har rettet bufferoverløb i den progressive læsningsrutine når PNG-datastrømmen indeholder flere IDAT-data end der er angivet i IHDR-chunk'en. Sådanne overlagt misdannede datastrømme kunne få programmer til at gå ned, hvilket potentielt kunne give en angriber mulighed for at udføre ondsindet kode. Programmer som Galeon, Konqueror og forskellige andre anvender disse biblioteker.
Desuden retter pakkerne nedenfor et andet potentielt bufferoverløb. Der er implementeret en sikkerhedsmargen i PNG-bibliotekerne, som også er indeholdt i en nyere opstrømsudgave. Tak til Glenn Randers-Pehrson for at give os besked.
For at finde ud af hvilket pakker som er afhængige af dette bibliotek, kan du udføre kommandoerne:
apt-cache showpkg libpng2
apt-cache showpkg libpng3
Dette problem er rettet i version 1.0.12-3.woody.2 af libpng og i version 1.2.1-1.1.woody.2 af libpng3 i den aktuelle stabile distribution (woody), samt i version 1.0.12-4 af libpng og i version 1.2.1-2 af libpng3 i den ustabile distribution (sid). Debians potato-udgave lader ikke til at være sårbar.
Vi anbefaler at du omgående opgraderer dine libpng-pakker og genstarter programmer og dæmoner som link'er til disse biblioteker og læser eksterne data, som for eksempel webbrowsere.
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.