Como me proteger do estouro do buffer libpng no bug de segurança png_set_PLTE?

4

A partir de hoje, há um bug de segurança que afeta a biblioteca libpng. A gravidade com isso é que a biblioteca é usada por uma quantidade enorme de projetos: navegadores, tocadores de música, jogos, Linux Distro.

Outro fator é que, alguns usam uma versão modificada da libpng, minha pergunta é, o Ubuntu é afetado por isso? E, em caso afirmativo, como me protejo até que consertem esse bug?

Referência:

por blade19899 16.11.2015 / 11:49

1 resposta

0

Compile a versão corrigida, disponível aqui .

  • Remova o pacote vulnerável com

    sudo dpkg -r --force-all libpng12-0
    

    Não use apt-get remove ou apt-get purge . Com esses comandos, programas e bibliotecas relacionadas também seriam removidos.

  • Remover o pacote de desenvolvimento

    sudo apt-get remove libpng12-dev
    

    Aqui está o uso de apt-get remove ok.

  • Crie um pacote DEB, por exemplo com checkinstall e use ./configure --prefix=/usr

  • Ativar o canal de segurança (por exemplo, wily-security para Wily). Verifique com mais frequência os upgrades. A versão instalada será sobrescrita, se uma versão fixa estiver disponível nos repositórios do Ubuntu

E sim, o Ubuntu também é afetado no momento, as versões são

  • Wily: 1.2.51-0ubuntu3 .
  • Confiável: 1.2.50-1ubuntu2
  • Preciso: 1.2.46-3ubuntu4

Versões fixas são 1.6.19 , 1.5.24 , 1.4.17 , 1.2.54 e 1.0.64

Para verificar quais aplicativos dependem dessa biblioteca:

apt-cache rdepends libpng12-0

ou para simular a remoção

sudo apt-get remove -s libpng12-0
    
por A.B. 16.11.2015 / 12:07

Tags