Cita

"Those who are willing to pay a penny of security for a penny of usability will eventually have neither"

06 enero 2015

Vulnerabilidades en bibliotecas de tratamiento de imágenes

Dos vulnerabilidades asociadas a bibliotecas de programas para el tratamiento de imágenes en dos formatos bastante conocidos: libpng y libtiff (CVE-2014-9330).

El formato de archivo de imagen PNG (Portable Network Graphics) es cada vez más habitual y hay muchas aplicaciones que lo usan. Mala noticia, por tanto, el anuncio de una vulnerabilidad que podría permitir a un atacante remoto la ejecución de código arbitrario. Cualquier aplicación que utilice la biblioteca libpng puede estar afectada.

El formato TIFF (Tag Image File Format) se usa para el tratamiento de almacenamiento de imágenes. La vulnerabilidad permite a un atacante realizar una denegación de servicio.

Lo que he hecho para actualizar libpng en Linux Mint:

- Descargar el archivo libpng-1.6.16.tar.xz de aquí.
- Descomprimirlo.
- Abrir una sesión de terminal e irme a la carpeta que se ha creado:

cd Descargas/libpng-1.6.16

- Una vez en la carpeta, ejecutar los siguientes comandos:

./configure --prefix=/usr/local/libpng
  make check
  sudo make install

- Lo mismo se puede hacer para la versión 1.5.21, que se descarga desde aquí.

En cuanto a la biblioteca libtiff, creo que no tengo ninguna aplicación que la use. Pero, como leo que se ha publicado una corrección en forma de código que corrige el problema, supongo que en el repositorio ya estarán los paquetes actualizados y cuando lo descargue ya estará el bueno.

Referencias:
http://unaaldia.hispasec.com/2015/01/ejecucion-de-codigo-traves-de-libpng.html
http://sourceforge.net/p/png-mng/mailman/message/33173461/
ftp://ftp.simplesystems.org/pub/png/src/libpng16/
ftp://ftp.simplesystems.org/pub/png/src/PLEASE_README.txt
http://unaaldia.hispasec.com/2015/01/denegacion-de-servicio-en-la-libreria.html

No hay comentarios:

Publicar un comentario

A penny for your thoughts