libpng CVE-2014-9495, CVE-2015-0973 の各Linuxディストリビューションへの影響
libpngの脆弱性 悪意のあるファイルを処理させると任意のコード実行可能
- CVE-2014-9495 http://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-007576.html
- CVE-2015-0973 http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-001198.html
脆弱性としては、悪意のあるファイルを処理させると任意のコードが実行可能、と影響大きい(CVE-2014-9495はScore 10)のわりに、話題になっていない。 どうしてだろう?、って事で各Linuxディストリビューションへの影響を調べてみた
結論
は影響を受けない
fedoraは17のみ影響をうけるかもしれない。
脆弱性情報
- JVN
- libpng公式ページ
- CVE
脆弱性の内容
JVNより
CVE-2014-9495 : Base Score 10.0 (危険)
CVE-2015-0973 : Base Score 7.5 (危険)
攻撃者により、過度に大きな幅の IDAT データを介して、任意のコードを実行される可能性があります。
対象
対象は、libpngホームページ http://www.libpng.org/pub/png/libpng.html より
libpng versions 1.6.9 through 1.6.15 (and some subset of versions up through 1.5.20) have an integer-overflow vulnerability in png_combine_row() when decoding very wide interlaced images, which can allow an attacker to overwrite an arbitrary amount of memory with arbitrary (attacker-controlled) data. This vulnerability has been assigned ID CVE-2014-9495 and is fixed in versions 1.6.16 and 1.5.21, released on 21 December 2014.
※CVE-2015-0973については記載無し(2015/01/26 19:14現在)
RedHat系
RedHat系はRedHatのCVEデーターベースに情報あり
- https://access.redhat.com/security/cve/CVE-2014-9495
- https://access.redhat.com/security/cve/CVE-2015-0973
Statementに影響受けないとある
Not vulnerable. This issue does not affect the version of libpng as shipped with Red Hat Enterprise Linux 5, 6 and 7. For a more detailed explanation please refer to: https://bugzilla.redhat.com/show_bug.cgi?id=1177327#c1
https://bugzilla.redhat.com/show_bug.cgi?id=1177327#c1 に大丈夫な理由が書いてある。
主要ディストリビューション
- RHEL, CentOSは上記の通り対策してある
- debian, ubuntuは、1.2.x 系なので対象外 https://packages.debian.org/search?keywords=libpng http://packages.ubuntu.com/search?keywords=libpng&searchon=names&suite=all§ion=all
fedora
RHEL, CentOSは上記の通り対策してあるので問題ないはず、、、だけど念のため確認して見る fedora 17 が影響を受ける可能性あり!
- f16まで1.2.x
- f17から1.5.x
- f17には https://bugzilla.redhat.com/show_bug.cgi?id=1177327#c1 に書いてある対策がされていない!
- f18から上記の対応が入っている。
- f20から1.6.x