Vulnerabilidad en png_check_keyword function en pngwutil.c en libpng (CVE-2008-5907)
Gravedad CVSS v2.0:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
15/01/2009
Última modificación:
08/11/2018
Descripción
La funcion png_check_keyword en pngwutil.c en libpng anteriores a v1.0.42, v1.2.x anterior a v1.2.34, permitiría atacantes dependientes de contexto poner a cero el valor de una localización de memoria de su elección a través de vectores relacionados con la creación de ficheros PNG con palabras clave, relacionado con la asignación del valor '\0' a un puntero NULL. NOTA: Algunas fuentes informan incorrectamente que se trata de una vulnerabilidad de doble liberación.
Impacto
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:libpng:libpng:*:*:*:*:*:*:*:* | 1.0.42 (excluyendo) | |
| cpe:2.3:a:libpng:libpng:*:*:*:*:*:*:*:* | 1.2.0 (incluyendo) | 1.2.34 (excluyendo) |
| cpe:2.3:o:debian:debian_linux:4.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:5.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://libpng.sourceforge.net/index.html
- http://lists.opensuse.org/opensuse-security-announce/2009-02/msg00000.html
- http://openwall.com/lists/oss-security/2009/01/09/1
- http://secunia.com/advisories/34320
- http://secunia.com/advisories/34388
- http://security.gentoo.org/glsa/glsa-200903-28.xml
- http://sourceforge.net/mailarchive/forum.php?thread_name=4B6F0239C13D0245820603C036D180BC79FBAA%40CABOTUKEXCH01.cabot.local&forum_name=png-mng-implement
- http://www.debian.org/security/2009/dsa-1750
- http://www.mandriva.com/security/advisories?name=MDVSA-2009%3A051
- https://exchange.xforce.ibmcloud.com/vulnerabilities/48128