-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

 --------------------------------------------------------------------------
   Turbolinux Security Advisory TLSA-2016-11
   http://www.turbolinux.co.jp/security/
                                             security-team@turbolinux.co.jp
 --------------------------------------------------------------------------

 アナウンス日 : 2016/04/11
 最終更新日   : 2016/04/11

 パッケージ名 : libpng
 
 タイトル : libpng に複数の脆弱性
 
 概要 : libpng は、PNG (Portable Network Graphics) 形式の画像ファイルを作成、
      操作するするためのライブラリが収められています。
 
      libpng の png ファイルを扱う処理に脆弱性が存在します。
 
 影響 : libpng の png_convert_to_rfc1123 関数の不備により、重要なプロセスメモリ
      情報を取得される脆弱性が存在します。
      第三者がこの脆弱性を利用して、画像ファイルに細工した tIME チャンクデータを
      介する事で、out-of-bounds read を誘発されて重要なプロセスメモリ情報が取得
      される可能性があります(CVE-2015-7981)。
 
      ibpng の png_set_PLTE 及び png_get_PLTE 関数の不備により、バッファオーバー
      フローの脆弱性が存在します。
      第三者がこの脆弱性を利用して、PNG 画像のIHDR(別名 イメージヘッダ)チャンクの
      過度に小さな bit-depth 値を介する事で、DoS 状態(アプリケーションクラッシュ)
      にされる等、不特定の影響を受ける可能性があります(CVE-2015-8126)。
 
      libpng の png_set_PLTE 関数の不備により、バッファオーバーフローの脆弱性が
      存在します。本脆弱性は CVE-2015-8126 の対応が不十分だった事が原因であり、
      CVE-2015-8126 と同様な影響を受ける可能性があります(CVE-2015-8472)。

 影響製品 :

    - Turbolinux Appliance Server 3.0 x64 Edition (延長メンテナンス)
    - Turbolinux Appliance Server 3.0 (延長メンテナンス)
    - Turbolinux 11 Server x64 Edition (延長メンテナンス)
    - Turbolinux 11 Server (延長メンテナンス)
    - Turbolinux Appliance Server 2.0 (延長メンテナンス)

 対策方法 : 下記パッケージにアップデートを行って下さい。
          [Turbolinux 11 Server, Turbolinux 11 Server x64 Edition の場合]
          アップデートは、ディスクトップメニュー「パネルの左端のメニュー」をクリックし
          Turbo プラス を起動し行って下さい。

          [Turbolinux Appliance Server の場合]
          アップデートは、 TLAS Server Desktop 上から行って下さい。

 コンソールから実行する場合
 ----------------------------------------
 [Turbolinux 11 Serverr の場合]
 # turbo+ --cui
 もしくは、
 # turbo+ -u libpng libpng-devel
 ----------------------------------------


 <Turbolinux Appliance Server 3.0 x64 Edition>

   Source Packages
   Size: MD5

   libpng-1.2.20-2.src.rpm
       629426 22d6b877560511a6c2a820f327defaf2

   Binary Packages
   Size: MD5

   libpng-1.2.20-2.x86_64.rpm
       239061 026ddde9f15375f62755261ecf0df0a3
   libpng-devel-1.2.20-2.x86_64.rpm
       185066 487589774673c7861f4111f581c47fef

 <Turbolinux Appliance Server 3.0>

   Source Packages
   Size: MD5

   libpng-1.2.20-2.src.rpm
       629426 22d6b877560511a6c2a820f327defaf2

   Binary Packages
   Size: MD5

   libpng-1.2.20-2.i686.rpm
       236843 e72dd9fb15acf4522134fcbceeab2092
   libpng-devel-1.2.20-2.i686.rpm
       177497 afa2b24883155f3abea38a4cb57e66eb

 <Turbolinux 11 Server x64 Edition>

   Source Packages
   Size: MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/x64/Server/11/updates/SRPMS/libpng-1.2.20-2.src.rpm
       628181 80b0550d4e8b832ff6c2e19d1969677a

   Binary Packages
   Size: MD5

   libpng-1.2.20-2.x86_64.rpm
       239061 026ddde9f15375f62755261ecf0df0a3
   libpng-devel-1.2.20-2.x86_64.rpm
       185066 487589774673c7861f4111f581c47fef

 <Turbolinux 11 Server>

   Source Packages
   Size: MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/11/updates/SRPMS/libpng-1.2.20-2.src.rpm
       629426 22d6b877560511a6c2a820f327defaf2

   Binary Packages
   Size: MD5

   libpng-1.2.20-2.i686.rpm
       236843 e72dd9fb15acf4522134fcbceeab2092
   libpng-devel-1.2.20-2.i686.rpm
       177497 afa2b24883155f3abea38a4cb57e66eb

 <Turbolinux Appliance Server 2.0>

   Source Packages
   Size: MD5

   libpng-1.2.6-7.src.rpm
       401686 8ba18cbce101f65702e4793bf632c388

   Binary Packages
   Size: MD5

   libpng-1.2.6-7.i586.rpm
       163633 2faaa7045a4cd90d96b2a33001c30960
   libpng-devel-1.2.6-7.i586.rpm
       194853 913e6962ad3662da3d24ba2f72dfe7df


 関連文章 :

 CVE
   [CVE-2015-7981]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7981
   [CVE-2015-8126]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8126
   [CVE-2015-8472]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8472

 --------------------------------------------------------------------------
 更新履歴
   初版   2016/04/11
 --------------------------------------------------------------------------

 Copyright(C) 2016 Turbolinux, Inc. All rights reserved.

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.22 (GNU/Linux)

iEYEARECAAYFAlcLFRYACgkQK0LzjOqIJMy11wCfTWvzHPGEfa9rDl2X6ljP3l7t
g6AAoJ7X/cyrS/hXt9hx0NOtCeyQR0Cj
=dCpF
-----END PGP SIGNATURE-----