1. 修復的CVE信息
CVE-2021-40145
GD Graphics Library是一個開源代碼庫,用于程序員動態創建圖像。GD Graphics Library 存在安全漏洞,該漏洞源于 GD Graphics Library(又名 LibGD)到 2.3.2 中的 gd_gd2.c 中的 gdImageGd2Ptr 有雙重釋放。
CVE-2017-6363
GD Graphics Library(libgd或libgd2)是美國Thomas Boutell軟件開發者的一個開源的用于動態創建圖像的庫。該產品支持創建圖表、圖形和縮略圖等。
GD Graphics Library 2.2.5及之前版本中的gd_tiff.c文件的‘tiffWriter’函數存在緩沖區錯誤漏洞。該漏洞源于網絡系統或產品在內存上執行操作時,未正確驗證數據邊界,導致向關聯的其他內存位置上執行了錯誤的讀寫操作。攻擊者可利用該漏洞導致緩沖區溢出或堆溢出等。
CVE-2021-38115
GD Graphics Library是一個開源代碼庫,用于程序員動態創建圖像。GD Graphics Library 存在安全漏洞,該漏洞允許遠程攻擊者可利用該漏洞通過一個制作好的tga文件導致拒絕服務(越界讀取)。
2. 影響的操作系統
銀河麒麟桌面操作系統V4 SP1
銀河麒麟桌面操作系統V4 SP2
銀河麒麟桌面操作系統V4 SP3
銀河麒麟桌面操作系統V4 SP4
銀河麒麟桌面操作系統V10
銀河麒麟服務器操作系統V4 SP1
銀河麒麟服務器操作系統V4 SP2
銀河麒麟服務器操作系統V4 SP3
銀河麒麟服務器操作系統V4 SP4
銀河麒麟桌面操作系統V10 SP1
3. 修復版本
軟件包:libgd2
2.1.1-4kord0.16.04.12+esm1(V4、V10)
2.2.5-5.2kylin2.1(V10 SP1)
4. 受影響的軟件包
銀河麒麟桌面操作系統V4
libgd-dev
libgd-dbg
libgd-tools
libgd3
銀河麒麟桌面操作系統V10
libgd-dev
libgd-dbg
libgd-tools
libgd3
銀河麒麟桌面操作系統V10 SP1
libgd-dev
libgd-tools
libgd3
5. 修復方法
方法一:配置源進行升級安裝
打開軟件包源配置文件,根據倉庫地址進行修改。
4.0.2-sp1:http://archive.kylinos.cn/kylin/KYLIN-ALL 4.0.2sp1-desktop main restricted universe multiverse
4.0.2-sp2:http://archive.kylinos.cn/kylin/KYLIN-ALL 4.0.2sp2-desktop main restricted universe multiverse
4.0.2-sp3:http://archive.kylinos.cn/kylin/KYLIN-ALL 4.0.2sp3-desktop main restricted universe multiverse
4.0.2-sp4:http://archive.kylinos.cn/kylin/KYLIN-ALL 4.0.2sp4-desktop main restricted universe multiverse
10.0:http://archive.kylinos.cn/kylin/KYLIN-ALL 10.0 main restricted universe multiverse
10.0 SP1:http://archive.kylinos.cn/kylin/KYLIN-ALL 10.1 main restricted universe multiverse
配置完成后執行更新命令進行升級。$sudo apt update
方法二:下載安裝包進行升級安裝
通過軟件包地址下載軟件包,使用軟件包升級命令根據受影響的組件包列表 升級相關的組件包。$dpkg -i Packagelists
6. 軟件包下載地址
銀河麒麟桌面操作系統V10、V4
X86_64軟件包下載地址:
http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/libg/libgd2/libgd-dev_2.1.1-4kord0.16.04.12+esm1_amd64.deb
http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/libg/libgd2/libgd-tools_2.1.1-4kord0.16.04.12+esm1_amd64.deb
http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/libg/libgd2/libgd3_2.1.1-4kord0.16.04.12+esm1_amd64.deb
http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/libg/libgd2/libgd-tools_2.1.1-4kord0.16.04.12+esm1_arm64.deb
http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/libg/libgd2/libgd3_2.1.1-4kord0.16.04.12+esm1_arm64.deb
銀河麒麟桌面操作系統V10 SP1
X86_64軟件包下載地址:
http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/libg/libgd2/libgd3_2.2.5-5.2kylin2.1_amd64.deb
http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/libg/libgd2/libgd-tools_2.2.5-5.2kylin2.1_amd64.deb
http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/libg/libgd2/libgd-dev_2.2.5-5.2kylin2.1_amd64.deb
http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/libg/libgd2/libgd3_2.2.5-5.2kylin2.1_arm64.deb
http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/libg/libgd2/libgd-tools_2.2.5-5.2kylin2.1_arm64.deb
http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/libg/libgd2/libgd-dev_2.2.5-5.2kylin2.1_arm64.deb
http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/libg/libgd2/libgd-tools_2.2.5-5.2kylin2.1_mips64el.deb
http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/libg/libgd2/libgd-dev_2.2.5-5.2kylin2.1_mips64el.deb
