JVNTA04-217A: libpng に複数の脆弱性

PNG (Portable Network Graphics) 形式の画像処理ライブラリ libpng のバージョン 1.2.5 およびそれ以前には、バッファオーバーフローなど複数の脆弱性があります。
この脆弱性は、脆弱な libpng ライブラリを使用しているプログラムの実装にも影響を与えます。

遠隔から第三者が、PNG 形式の画像ファイルを経由して、libpng を使用したアプリケーションを実行しているユーザの権限を取得する可能性があります。
なお、PNG 形式の画像ファイルは、Web ページや HTML 形式の電子メールに含まれている場合があります。

ベンダ	リンク
RedHat	Updated libpng packages fix security issues
RedHat	Updated mozilla packages fix security issues
MIRACLE Linux	libpngライブラリに含まれる複数の脆弱性の修正
OpenPKG	OpenPKG-SA-2004.035-png
Debian	libpng -- several vulnerabilities
Vine Linux	libpng, libpng10 にセキュリティホール
SUSE Linux	SUSE Security Announcement: libpng (SUSE-SA:2004:023)
Mandrake Linux	Updated libpng packages fix multiple vulnerabilities
Gentoo Linux	libpng: Numerous vulnerabilities

US-CERT Vulnerability Note VU#388984
libpng fails to properly check length of transparency chunk (tRNS) data
US-CERT Vulnerability Note VU#817368
libpng png_handle_sBIT() performs insufficient bounds checking
US-CERT Vulnerability Note VU#286464
libpng contains integer overflows in progressive display image reading
US-CERT Vulnerability Note VU#477512
libpng png_handle_sPLT() integer overflow
US-CERT Vulnerability Note VU#160448
libpng integer overflow in image height processing
US-CERT Vulnerability Note VU#236656
libpng png_handle_iCCP() NULL pointer dereference
libpng.org
libpng Home Page
CIAC Bulletin O-192
libpng" Package Vulnerabilities
ISS X-Force Database: libpng-pnghandle-bo (16894)
libpng png_handle_sBIT and png_handle_tRNS buffer overflow
ISS X-Force Database: libpng-pnghandleiccp-dos (16895)
libpng png_handle_iCCP denial of service
ISS X-Force Database: lilbpng-integer-bo (16896)
libpng integer buffer overflow

JPCERT 緊急報告	JPCERT-AT-2004-0010 JPCERT/CC Alert 2004-08-05, libpng に複数の脆弱性
JPCERT REPORT	JPCERT-WR-2004-3101 JPCERT/CC REPORT 2004-08-11
CERT Advisory	Technical Cyber Security Alert TA04-217A Multiple Vulnerabilities in libpng
CPNI Advisory
TRnotes
CVE	CAN-2004-0597 VU#388984,VU#817368,XF16894
JVN iPedia

JVNTA04-217A libpng に複数の脆弱性