libpng无限循环拒绝服务漏洞
发表日期:2014-02-10 14:54:00
libpng无限循环拒绝服务漏洞
BugTraq-ID:65776
CVE-ID:CVE-2014-0333
受影响系统:
libpng libpng 1.6.0 - 1.6.9
详细信息:
libpng是多种应用程序所使用的解析PNG图形格式的函数库。
libpng 1.6.0-1.6.9版本在progressive解码器遇到零长度的IDAT块后,在实现上存在拒绝服务漏洞,攻击者通过畸形.png文件利用此漏洞后,可占用CPU时间,使目标应用不响应。
来源:
Glenn Randers-Pehrson
参考信息:
http://www.vaxxe.com/2014/02/25/vu684412-libpng-denial-of-service-vulnerability/
解决办法:
厂商补丁:
libpng
------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://libpng.sourceforge.net/
https://sourceforge.net/projects/libpng/files/libpng16/patch-libpng16-vu684412.diff
ftp://ftp.simplesystems.org/pub/png/src/libpng16/patch-libpng16-vu684412.diff