云安全日报210607：Debian libwebp图像编解码库发现越

Debian是一个完全自由的稳定且安全的基于Linux的操作系统,其使用范围包括笔记本计算机，台式机和服务器。Debian是许多其他发行版(例如:Ubuntu、Knoppix、PureOS、SteamOS等)的种子和基础。自1993年以来，它的稳定性和可靠性就深受用户喜爱。

6月7日,Debian发布了安全更新,修复了图像编解码库(libebp)中发现的越界读取等重要漏洞。以下是漏洞详情

漏洞详情

来源https://.debian./lts/security/2021/dla-2677

1.CVE-2018-25009 严重程度: 重要

在函数 WebPMuxCreateInternal 中发现越界读取。此漏洞的最大威胁是数据机密性和服务可用性。

2.CVE-2018-25010 严重程度: 重要

在函数 ApplyFilter 中发现越界读取。此漏洞的最大威胁是数据机密性和服务可用性。

3.CVE-2018-25011 严重程度: 重要

在 PutLE16() 中发现了基于堆的缓冲区溢出。此漏洞的最大威胁是数据机密性和完整性以及系统可用性。

4.CVE-2018-25012 严重程度: 重要

在函数 WebPMuxCreateInternal 中发现越界读取。此漏洞的最大威胁是数据机密性和服务可用性。

5.CVE-2018-25013 严重程度: 重要

在函数 ShiftBytes 中发现越界读取。此漏洞的最大威胁是数据机密性和服务可用性。

6.CVE-2018-25014 严重程度: 重要

在函数 ReadSymbol 中使用了一个未初始化的变量。此漏洞的最大威胁是数据机密性和完整性以及系统可用性。

7.CVE-2020-36328 严重程度: 重要

由于对缓冲区大小的无效检查，函数 WebPDecodeRGBInto 中的基于堆的缓冲区溢出是可能的。此漏洞的最大威胁是数据机密性和完整性以及系统可用性。

8.CVE-2020-36329 严重程度: 重要

由于线程被过早杀死，发现了use-after-free(释放之后被使用)漏洞。此漏洞的最大威胁是数据机密性和完整性以及系统可用性。

9.CVE-2020-36330 严重程度: 重要

在函数 ChunkVerifyAndAssign 中发现越界读取。此漏洞的最大威胁是数据机密性和服务可用性。

10.CVE-2020-36331 严重程度: 重要

在函数 ChunkAssignData 中发现越界读取。此漏洞的最大威胁是数据机密性和服务可用性。

受影响产品及版本

上述漏洞影响Debian libebp 0.5.2-1+deb9u1之前版本

解决方案

对于 Debian 9 stretch，这些问题已在 0.5.2-1+deb9u1 版本中修复,建议及时更新libebp软件包。

查看更多漏洞信息 以及升级请访问官网

https://.debian./lts/security/