GDK-Pixbuf多个安全漏洞

发布日期：2004-09-15
更新日期：2004-09-24

受影响系统：

GTK GTK 2.2.4
GTK GTK 2.2.3
GTK GTK 2.2.1
GTK GTK 2.0.6
GTK GTK 2.0.2
- Debian Linux 3.0
- Mandrake Linux 9.2
- Mandrake Linux 10.0
- RedHat Enterprise Linux WS 3
- RedHat Enterprise Linux WS 2.1
- RedHat Enterprise Linux ES 3
- RedHat Enterprise Linux ES 2.1
- RedHat Enterprise Linux AS 3
- RedHat Enterprise Linux AS 2.1
- SuSE Linux 9.1
- SuSE Linux 9.0
- SuSE Linux 8.2
- SuSE Linux 8.1

描述：

---

BUGTRAQ ID: 11195
CVE(CAN) ID: CVE-2004-0753,CVE-2004-0782,CVE-2004-0783,CVE-2004-0788

gdk-pixbuf是Gtk使用的一个库。

gdk-pixbuf存在多个问题，远程攻击者可以利用这个漏洞进行拒绝服务或缓冲区溢出攻击。

第一个问题(CAN-2004-0753)是在尝试对BMP图象进行解码时，在部分条件下，库会进入无限循环，消耗大量CPU资源。

第二和第三个问题是当库对XPM图象进行解码时，特殊构建的图象文件可导致使用此库的应用程序崩溃或可能执行用户提供的代码。

第四个和最后一个漏洞是在尝试解析ICO图象时，特殊的ICO文件可导致应用程序崩溃。

<*来源：Chris Evans （chris@ferret.lmh.ox.ac.uk）

链接：http://security.gentoo.org/glsa/glsa-200409-28.xml
http://www.linux-mandrake.com/en/security/2004/2004-095.php
http://www.debian.org/security/2002/dsa-549
http://www-1.ibm.com/services/continuity/recover1.nsf/mss/MSS-OAR-E01-2004.1393.1
http://www.debian.org/security/2002/dsa-546
http://www-1.ibm.com/services/continuity/recover1.nsf/mss/MSS-OAR-E01-2004.1388.1
*>

建议：

---

厂商补丁：

Debian
------
Debian已经为此发布了安全公告（DSA-549-1、DSA-546-1）以及相应补丁:

DSA-549-1：New gtk 2.0 packages fix several vulnerabilities
链接：http://www.debian.org/security/2002/dsa-549

DSA-546-1：New gdk-pixbuf packages fix several vulnerabilities
链接：http://www.debian.org/security/2002/dsa-546

补丁下载：

Source archives:

http://security.debian.org/pool/updates/main/g/gtk 2.0/gtk 2.0_2.0.2-5woody2.dsc
Size/MD5 checksum: 863 e1fb1114b9e8a2a41696f9ce87e63695
http://security.debian.org/pool/updates/main/g/gtk 2.0/gtk 2.0_2.0.2-5woody2.diff.gz
Size/MD5 checksum: 46831 2efce3a3481974044c1a6a1011954f18
http://security.debian.org/pool/updates/main/g/gtk 2.0/gtk 2.0_2.0.2.orig.tar.gz
Size/MD5 checksum: 7835836 dc80381b84458d944c5300a1672c099c

Architecture independent components:

http://security.debian.org/pool/updates/main/g/gtk 2.0/libgtk2.0-doc_2.0.2-5woody2_all.deb
Size/MD5 checksum: 1378706 d2d6f488c0a77c93ed5a8fd151741543

Alpha architecture:

http://security.debian.org/pool/updates/main/g/gtk 2.0/gtk2.0-examples_2.0.2-5woody2_alpha.deb
Size/MD5 checksum: 220806 d754d0cecc3f82d64be319c55dff5c8e
http://security.debian.org/pool/updates/main/g/gtk 2.0/libgtk-common_2.0.2-5woody2_alpha.deb
Size/MD5 checksum: 1102 d3ccf8d6e3b666f6dc71c35f20a6cb77
http://security.debian.org/pool/updates/main/g/gtk 2.0/libgtk2.0-0_2.0.2-5woody2_alpha.deb
Size/MD5 checksum: 1585238 13f238596d197ad27933c3f3e27269f7
http://security.debian.org/pool/updates/main/g/gtk 2.0/libgtk2.0-common_2.0.2-5woody2_alpha.deb
Size/MD5 checksum: 595896 57264f5be6eb488ea9607cd2f7058e08
http://security.debian.org/pool/updates/main/g/gtk 2.0/libgtk2.0-dbg_2.0.2-5woody2_alpha.deb
Size/MD5 checksum: 5878498 0ffc094ffe8ef6fdd11b38484ea90477
http://security.debian.org/pool/updates/main/g/gtk 2.0/libgtk2.0-dev_2.0.2-5woody2_alpha.deb
Size/MD5 checksum: 178322 14de2746abdb546a703aeec243e28a12

ARM architecture:

http://security.debian.org/pool/updates/main/g/gtk 2.0/gtk2.0-examples_2.0.2-5woody2_arm.deb
Size/MD5 checksum: 214610 c2a2b4874321a68a912afcac8efe4432
http://security.debian.org/pool/updates/main/g/gtk 2.0/libgtk-common_2.0.2-5woody2_arm.deb
Size/MD5 checksum: 1106 d78aba4e1a787ac217dc055dc8e5d77a
http://security.debian.org/pool/updates/main/g/gtk 2.0/libgtk2.0-0_2.0.2-5woody2_arm.deb
Size/MD5 checksum: 1419902 92ed65acd376e565968d534df0e56b4f
http://security.debian.org/pool/updates/main/g/gtk 2.0/libgtk2.0-common_2.0.2-5woody2_arm.deb
Size/MD5 checksum: 595286 a8f465878ea70bb232fc4fc7d460462d
http://security.debian.org/pool/updates/main/g/gtk 2.0/libgtk2.0-dbg_2.0.2-5woody2_arm.deb
Size/MD5 checksum: 2904044 843cba67b1831b001b9186c11d7d5c72
http://security.debian.org/pool/updates/main/g/gtk 2.0/libgtk2.0-dev_2.0.2-5woody2_arm.deb
Size/MD5 checksum: 177272 f02861b5aa96ea782f041db0ba00fe11

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有