漏洞信息详情
OptiPNG 释放后使用漏洞
- CNNVD编号:CNNVD-201209-520
- 危害等级: 中危
- CVE编号: CVE-2012-4432
- 漏洞类型: 资源管理错误
- 发布时间: 2012-09-26
- 威胁类型: 远程
- 更新时间: 2012-10-09
- 厂 商: optipng
- 漏洞来源:
漏洞简介
OptiPNG是一套用于图片无损压缩的工具。
OptiPNG Hg和0.7.3之前的0.7.x版本中的opngreduc.c中存在释放后使用漏洞。远程攻击者可利用该漏洞通过与‘palette reduction’有关的未明向量,执行任意代码。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://optipng.sourceforge.net/
参考网址
来源: MLIST
名称: [oss-security] 20120917 Re: CVE request: OptiPNG Palette Reduction Use-After-Free Vulnerability
链接:http://www.openwall.com/lists/oss-security/2012/09/18/2
来源: MLIST
名称: [oss-security] 20120917 CVE request: OptiPNG Palette Reduction Use-After-Free Vulnerability
链接:http://www.openwall.com/lists/oss-security/2012/09/17/5
来源: optipng.sourceforge.net
链接:http://optipng.sourceforge.net/
来源: XF
名称: optipng-palette-code-execution(78743)
链接:http://xforce.iss.net/xforce/xfdb/78743
来源: sourceforge.net
链接:http://sourceforge.net/news/?group_id=151404
来源: SECUNIA
名称: 50654
链接:http://secunia.com/advisories/50654
来源: optipng.hg.sourceforge.net
链接:http://optipng.hg.sourceforge.net/hgweb/optipng/optipng/rev/f1d5d44670a2
来源: BID
名称: 55566
链接:http://www.securityfocus.com/bid/55566 来源:NSFOCUS 名称:20848 链接:http://www.nsfocus.net/vulndb/20848
受影响实体
- Optipng Optipng:0.7.1
- Optipng Optipng:0.7.0
- Optipng Optipng:Hg
- Optipng Optipng:0.7.2
补丁
- optipng-0.7.4
评论