Les développeurs de la bibliothèque PNG ont corrigé un débordement de tampon dans le « progressive reader », lorsque le flux de données PNG contient plus de données IDAT que ce qu'indique le bloc IHDR. De telles malformations des flux de données provoqueront le plantage de l'application, ce qui peut potentiellement permettre à un assaillant d'exécuter un code néfaste. Des programmes tels que Galeon, Konqueror et une multitudes d'autres qui emploient ces bibliothèques.
En plus de cette correction, les paquets ci-dessous corrigent un autre débordement de tampon. Les bibliothèques PNG intègrent une marge sécurisée qui est aussi inclue dans une nouvelle version des sources. Merci à Glenn Randers-Pehrson de nous avoir informé.
Pour savoir quels paquets dépendent de cette bibliothèque, vous pourrez lancer les commandes suivantes :
apt-cache showpkg libpng2 apt-cache showpkg libpng3
Ce problème a été corrigé dans la version 1.0.12-3.woody.2 de libpng et la version 1.2.1-1.1.woody.2 de libpng3 pour l'actuelle distribution stable (Woody) et dans la version 1.0.12-4 de libpng et la version 1.2.1-2 de libpng3 de libpng3 pour la distribution unstable (Sid). La distribution Potato ne semble pas être touchée par cette faille.
Nous vous recommandons de mettre à jour vos paquets libpng immédiatement et de relancer les programmes et les démons qui sont liés avec ces bibliothèques et lisent de données externes, tel que les navigateurs Internet.
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.