Debian是一个完全自由的稳定且安全的基于Linux的操作系统,其使用范围包括笔记本计算机,台式机和服务器。Debian是许多其他发行版(例如:Ubuntu、Knoppix、PureOS、SteamOS等)的种子和基础。自1993年以来,它的稳定性和可靠性就深受用户喜爱。
6月7日,Debian发布了安全更新,修复了图像编解码库(libwebp)中发现的越界读取等重要漏洞。以下是漏洞详情:
1.CVE-2018-25009严重程度:重要
在函数WebPMuxCreateInternal中发现越界读取。此漏洞的最大威胁是数据机密性和服务可用性。
2.CVE-2018-25010严重程度:重要
在函数ApplyFilter中发现越界读取。此漏洞的最大威胁是数据机密性和服务可用性。
3.CVE-2018-25011严重程度:重要
在PutLE16()中发现了基于堆的缓冲区溢出。此漏洞的最大威胁是数据机密性和完整性以及系统可用性。
4.CVE-2018-25012严重程度:重要
在函数WebPMuxCreateInternal中发现越界读取。此漏洞的最大威胁是数据机密性和服务可用性。
5.CVE-2018-25013严重程度:重要
在函数ShiftBytes中发现越界读取。此漏洞的最大威胁是数据机密性和服务可用性。
6.CVE-2018-25014严重程度:重要
在函数ReadSymbol中使用了一个未初始化的变量。此漏洞的最大威胁是数据机密性和完整性以及系统可用性。
7.CVE-2020-36328严重程度:重要
由于对缓冲区大小的无效检查,函数WebPDecodeRGBInto中的基于堆的缓冲区溢出是可能的。此漏洞的最大威胁是数据机密性和完整性以及系统可用性。
8.CVE-2020-36329严重程度:重要
由于线程被过早杀死,因此发现了use-after-free(释放之后再次被使用)漏洞。此漏洞的最大威胁是数据机密性和完整性以及系统可用性。
9.CVE-2020-36330严重程度:重要
在函数ChunkVerifyAndAssign中发现越界读取。此漏洞的最大威胁是数据机密性和服务可用性。
10.CVE-2020-36331严重程度:重要
在函数ChunkAssignData中发现越界读取。此漏洞的最大威胁是数据机密性和服务可用性。
受影响产品及版本
上述漏洞影响Debianlibwebp0.5.2-1+deb9u1之前版本
解决方案
对于Debian9stretch,这些问题已在0.5.2-1+deb9u1版本中修复,建议及时更新libwebp软件包。