雲安全日報210607：Debian libwebp影象編解碼庫發現越界讀取漏洞，需要儘快升級

2021-06-07 15:28:55

Debian是一個完全自由的穩定且安全的基於Linux的作業系統,其使用範圍包括筆記本計算機，桌上型電腦和伺服器。Debian是許多其他發行版(例如:Ubuntu、Knoppix、PureOS、SteamOS等)的種子和基礎。自1993年以來，它的穩定性和可靠性就深受使用者喜愛。

6月7日,Debian釋出了安全更新,修復了影象編解碼庫(libwebp)中發現的越界讀取等重要漏洞。以下是漏洞詳情：

漏洞詳情

來源：https://www.debian.org/lts/security/2021/dla-2677

1.CVE-2018-25009 嚴重程度: 重要

在函數 WebPMuxCreateInternal 中發現越界讀取。此漏洞的最大威脅是資料機密性和服務可用性。

2.CVE-2018-25010 嚴重程度: 重要

在函數 ApplyFilter 中發現越界讀取。此漏洞的最大威脅是資料機密性和服務可用性。

3.CVE-2018-25011 嚴重程度: 重要

在 PutLE16() 中發現了基於堆的緩衝區溢位。此漏洞的最大威脅是資料機密性和完整性以及系統可用性。

4.CVE-2018-25012 嚴重程度: 重要

在函數 WebPMuxCreateInternal 中發現越界讀取。此漏洞的最大威脅是資料機密性和服務可用性。

5.CVE-2018-25013 嚴重程度: 重要

在函數 ShiftBytes 中發現越界讀取。此漏洞的最大威脅是資料機密性和服務可用性。

6.CVE-2018-25014 嚴重程度: 重要

在函數 ReadSymbol 中使用了一個未初始化的變數。此漏洞的最大威脅是資料機密性和完整性以及系統可用性。

7.CVE-2020-36328 嚴重程度: 重要

由於對緩衝區大小的無效檢查，函數 WebPDecodeRGBInto 中的基於堆的緩衝區溢位是可能的。此漏洞的最大威脅是資料機密性和完整性以及系統可用性。

8.CVE-2020-36329 嚴重程度: 重要

由於執行緒被過早殺死，因此發現了use-after-free(釋放之後再次被使用)漏洞。此漏洞的最大威脅是資料機密性和完整性以及系統可用性。

9.CVE-2020-36330 嚴重程度: 重要

在函數 ChunkVerifyAndAssign 中發現越界讀取。此漏洞的最大威脅是資料機密性和服務可用性。

10.CVE-2020-36331 嚴重程度: 重要

在函數 ChunkAssignData 中發現越界讀取。此漏洞的最大威脅是資料機密性和服務可用性。

受影響產品及版本

上述漏洞影響Debian libwebp 0.5.2-1+deb9u1之前版本

解決方案

對於 Debian 9 stretch，這些問題已在 0.5.2-1+deb9u1 版本中修復,建議及時更新libwebp軟體包。

檢視更多漏洞資訊以及升級請訪問官網：

https://www.debian.org/lts/security/