JVNDB-2006-000961

JVNDB-2006-000961
libpng の png_set_sPLT() 関数におけるサービス運用妨害 (DoS) の脆弱性
概要
PNG (Portable Network Graphics) 形式の画像処理ライブラリである libpng には、png_set_sPLT() 関数における sPLT チャンク処理コード部において、不正な PNG 画像の処理によりメモリアクセス違反が発生する問題があります。
CVSS による深刻度 (CVSS とは?)
CVSS v2 による深刻度基本値: 2.6 (注意) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 高攻撃前の認証要否: 不要機密性への影響(C): なし完全性への影響(I): なし可用性への影響(A): 部分的
影響を受けるシステム

PNG Development Group libpng 1.0.6 から 1.2.12 までのバージョンアップル Apple Mac OS X v10.5.2 Apple Mac OS X Server v10.5.2 ターボリナックス Turbolinux 10_f Turbolinux Appliance Server 1.0 (hosting) Turbolinux Appliance Server 1.0 (workgroup) Turbolinux Appliance Server 2.0 Turbolinux Desktop 10 Turbolinux FUJI Turbolinux Multimedia Turbolinux Personal Turbolinux Server 10 Turbolinux Server 10 (x64) Turbolinux Server 8 ターボリナックスホーム wizpy ミラクル・リナックス Asianux Server 4.0 Asianux Server 4.0 (x86-64) Asianux Server 3.0 Asianux Server 3.0 (x86-64) Asianux Server 2.0 Asianux Server 2.1 レッドハット Red Hat Enterprise Linux 4 (as) Red Hat Enterprise Linux 4 (es) Red Hat Enterprise Linux 4 (ws) Red Hat Enterprise Linux 5 (server) Red Hat Enterprise Linux 2.1 (as) Red Hat Enterprise Linux 3 (as) Red Hat Enterprise Linux 2.1 (es) Red Hat Enterprise Linux 3 (es) Red Hat Enterprise Linux 2.1 (ws) Red Hat Enterprise Linux 3 (ws) Red Hat Enterprise Linux Desktop 3.0 Red Hat Enterprise Linux Desktop 4.0 Red Hat Enterprise Linux Desktop 5.0 (client) Red Hat Linux Advanced Workstation 2.1 RHEL Desktop Workstation 5 (client)

想定される影響
Web サイトに設置されたり、メールに添付されたりした細工済みの png ファイルを閲覧することにより、サービス運用妨害 (DoS) 状態となる可能性があります。
対策
ベンダより正式な対策が公開されています (libpng 1.0.21, 1.2.13, 1.4.0beta14 で修正済み)。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報
PNG Development Group Libpng security advisory : 15 November 2006 libpng.org : Top Page アップル Apple Security Updates : Security Update 2008-002 Apple セキュリティアップデート : Security Update 2008-002 ターボリナックス Turbolinux Security Advisory (英語) : TLSA-2007-45 Turbolinux Security Advisory (英語) : TLSA-2007-49 製品セキュリティ情報 : TLSA-2007-45 製品セキュリティ情報 : TLSA-2007-49 ミラクル・リナックス MIRACLE LINUX アップデート情報 : 1511 MIRACLE LINUX アップデート情報 : 1023 レッドハット Red Hat Security Advisory : RHSA-2007:0356 レッドハットセキュリティーアップデート : RHSA-2007:0356
CWEによる脆弱性タイプ一覧 CWEとは?

共通脆弱性識別子(CVE) CVEとは?
CVE-2006-5793
参考情報
JVN : JVNTA08-079A JVN Status Tracking Notes : TRTA08-079A National Vulnerability Database (NVD) : CVE-2006-5793 US-CERT Cyber Security Alerts : SA08-079A US-CERT Technical Cyber Security Alert : TA08-079A Secunia Advisory : SA22900 SecurityFocus : 21078 ISS X-Force Database : 30290 SecurityTracker : 1017244 FrSIRT Advisories : FrSIRT/ADV-2006-4521
更新履歴
[2007年06月05日] 掲載 [2007年08月28日] 影響を受けるシステム：ターボリナックス (TLSA-2007-45) の情報を追加ベンダ情報: ターボリナックス (TLSA-2007-45) を追加 [2007年10月19日] ベンダ情報: ターボリナックス (TLSA-2007-49) を追加 [2008年03月31日] 影響を受けるシステム：アップル (Security Update 2008-002) の情報を追加ベンダ情報：アップル (Security Update 2008-002) を追加 [2009年04月03日] ベンダ情報：ミラクル・リナックス (1511) を追加


公表日	2006/06/17
登録日	2007/06/05
最終更新日	2009/04/03

libpng の png_set_sPLT() 関数におけるサービス運用妨害 (DoS) の脆弱性