发布日期：2009-06-04
更新日期：2009-06-18

受影响系统：

libpng libpng 1.2.x

不受影响系统：

libpng libpng 1.2.37

描述：

---

BUGTRAQ  ID: 35233
CVE ID: CVE-2009-2042

libpng是多种应用程序所使用的解析PNG图形格式的函数库。

libpng库没有正确地解析宽度值无法被8整除的1位隔行图形，导致libpng包含PNG文件的某些行中的未初始化位。远程攻击者可以利用文件中的界外像素读取部分敏感内存。

<*来源：Jeff Phillips
  
  链接：http://secunia.com/advisories/35346/
        http://security.gentoo.org/glsa/glsa-200906-01.xml
        https://www.redhat.com/support/errata/RHSA-2010-0534.html
*>

建议：

---

厂商补丁：

RedHat
------
RedHat已经为此发布了一个安全公告（RHSA-2010:0534-01）以及相应补丁:
RHSA-2010:0534-01：Important: libpng security update
链接：https://www.redhat.com/support/errata/RHSA-2010-0534.html

libpng
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://sourceforge.net/project/downloading.php?group_id=5624&filename=libpng-1.2.37.tar.gz&a=30652849

Gentoo
------
Gentoo已经为此发布了一个安全公告（GLSA-200906-01）以及相应补丁:
GLSA-200906-01：libpng: Information disclosure
链接：http://security.gentoo.org/glsa/glsa-200906-01.xml

所有libpng用户都应升级到最新版本：

    # emerge --sync
    # emerge --ask --oneshot --verbose ">=3Dmedia-libs/libpng-1.2.37"

浏览次数：2594
严重程度：0（网友投票）