Subject: [ASA-201701-2] libpng: отказ в обслуживании

Рекомендация по безопасности UBLinux ASA-201701-2
=================================================

Уровень  : Низкий
Дата     : 2017-01-01
CVE-ID   : CVE-2016-10087
Пакет    : libpng
Тип      : отказ в обслуживании
Удалённо : Да
Ссылка   : https://security.ublinux.ru/AVG-8

Сводка
=======

Пакет libpng до версии 1.6.27-1 имеет уязвимость отказ в обслуживании.

Решение
==========

Обновление до версии 1.6.27-1.

# pacman -Syu "libpng>=1.6.27-1"

Проблема устранена в апстриме в версии 1.6.27.

Путь для обхода
==========

Нет.

Описание
===========

Проблема разыменования нулевого указателя была обнаружена в
png_set_text_2 () в libpng. Чтобы быть уязвимым, приложение должно
загрузить фрагмент текста в структуру png, затем удалить весь текст, а
затем добавить еще один фрагмент текста в ту же структуру png.

Влияние
======

Удаленный злоумышленник может вывести приложение из строя при
определенных обстоятельствах.

Рекомендации
==========

http://seclists.org/oss-sec/2016/q4/782
https://security.ublinux.ru/CVE-2016-10087