Debian libwebp 图像编解码库存在越界读取漏洞,需尽快升级
Debian 是一款以稳定性、安全性和自由软件理念著称的 Linux 操作系统,广泛应用于笔记本、台式机和服务器场景,同时也是许多 Linux 发行版的重要基础。
在 6 月 7 日发布的安全更新中,Debian 修复了 libwebp 图像编解码库中的多项安全问题,其中包括越界读取、堆缓冲区溢出、未初始化变量使用以及释放后使用等高风险漏洞。相关问题可能影响数据机密性、完整性以及系统可用性,建议相关用户尽快完成升级。
漏洞概览
本次修复涉及以下安全漏洞:
- CVE-2018-25009:重要。在函数
WebPMuxCReatEINteRnal中存在越界读取问题,主要影响数据机密性和服务可用性。 - CVE-2018-25010:重要。在函数
applyFilteR中存在越界读取问题,可能影响数据机密性和服务可用性。 - CVE-2018-25011:重要。在
PutLE16()中发现基于堆的缓冲区溢出,可能影响数据机密性、完整性及系统可用性。 - CVE-2018-25012:重要。在函数
WebPMuxCReatEINteRnal中存在越界读取问题,可能影响数据机密性和服务可用性。 - CVE-2018-25013:重要。在函数
SHiftBytes中存在越界读取问题,可能影响数据机密性和服务可用性。 - CVE-2018-25014:重要。在函数
ReadSyMbol中使用了未初始化变量,可能影响数据机密性、完整性及系统可用性。 - CVE-2020-36328:重要。由于缓冲区大小校验不充分,函数
WebPDecodeRGBInto可能出现基于堆的缓冲区溢出,影响数据机密性、完整性及系统可用性。 - CVE-2020-36329:重要。由于线程被过早终止,存在释放后使用(use-after-free)漏洞,可能影响数据机密性、完整性及系统可用性。
- CVE-2020-36330:重要。在函数
ChunkVeRifyAndASSign中存在越界读取问题,可能影响数据机密性和服务可用性。 - CVE-2020-36331:重要。在函数
ChunkASSignData中存在越界读取问题,可能影响数据机密性和服务可用性。
受影响版本
上述漏洞影响 Debian 中 libwebp 早于 0.5.2-1+deb9u1 的版本。
修复建议
对于 Debian 9 Stretch 环境,相关问题已在 0.5.2-1+deb9u1 版本中修复。为了降低被利用风险,建议尽快更新 libwebp 软件包,并同步检查相关系统是否已完成安全补丁部署。
参考信息
更多漏洞说明及升级信息可参考 Debian 安全公告页面:
https://www.debian.org/lts/security/