1. 修复的CVE信息
CVE-2021-40145
GD Graphics Library是一个开源代码库,用于程序员动态创建图像。GD Graphics Library 存在安全漏洞,该漏洞源于 GD Graphics Library(又名 LibGD)到 2.3.2 中的 gd_gd2.c 中的 gdImageGd2Ptr 有双重释放。
CVE-2017-6363
GD Graphics Library(libgd或libgd2)是美国Thomas Boutell软件开发者的一个开源的用于动态创建图像的库。该产品支持创建图表、图形和缩略图等。
GD Graphics Library 2.2.5及之前版本中的gd_tiff.c文件的‘tiffWriter’函数存在缓冲区错误漏洞。该漏洞源于网络系统或产品在内存上执行操作时,未正确验证数据边界,导致向关联的其他内存位置上执行了错误的读写操作。攻击者可利用该漏洞导致缓冲区溢出或堆溢出等。
CVE-2021-38115
GD Graphics Library是一个开源代码库,用于程序员动态创建图像。GD Graphics Library 存在安全漏洞,该漏洞允许远程攻击者可利用该漏洞通过一个制作好的tga文件导致拒绝服务(越界读取)。
2. 影响的操作系统
银河麒麟桌面操作系统V4 SP1
银河麒麟桌面操作系统V4 SP2
银河麒麟桌面操作系统V4 SP3
银河麒麟桌面操作系统V4 SP4
银河麒麟桌面操作系统V10
银河麒麟服务器操作系统V4 SP1
银河麒麟服务器操作系统V4 SP2
银河麒麟服务器操作系统V4 SP3
银河麒麟服务器操作系统V4 SP4
银河麒麟桌面操作系统V10 SP1
3. 修复版本
软件包:libgd2
2.1.1-4kord0.16.04.12+esm1(V4、V10)
2.2.5-5.2kylin2.1(V10 SP1)
4. 受影响的软件包
银河麒麟桌面操作系统V4
libgd-dev
libgd-dbg
libgd-tools
libgd3
银河麒麟桌面操作系统V10
libgd-dev
libgd-dbg
libgd-tools
libgd3
银河麒麟桌面操作系统V10 SP1
libgd-dev
libgd-tools
libgd3
5. 修复方法
方法一:配置源进行升级安装
打开软件包源配置文件,根据仓库地址进行修改。
4.0.2-sp1:http://archive.kylinos.cn/kylin/KYLIN-ALL 4.0.2sp1-desktop main restricted universe multiverse
4.0.2-sp2:http://archive.kylinos.cn/kylin/KYLIN-ALL 4.0.2sp2-desktop main restricted universe multiverse
4.0.2-sp3:http://archive.kylinos.cn/kylin/KYLIN-ALL 4.0.2sp3-desktop main restricted universe multiverse
4.0.2-sp4:http://archive.kylinos.cn/kylin/KYLIN-ALL 4.0.2sp4-desktop main restricted universe multiverse
10.0:http://archive.kylinos.cn/kylin/KYLIN-ALL 10.0 main restricted universe multiverse
10.0 SP1:http://archive.kylinos.cn/kylin/KYLIN-ALL 10.1 main restricted universe multiverse
配置完成后执行更新命令进行升级。$sudo apt update
方法二:下载安装包进行升级安装
通过软件包地址下载软件包,使用软件包升级命令根据受影响的组件包列表 升级相关的组件包。$dpkg -i Packagelists
6. 软件包下载地址
银河麒麟桌面操作系统V10、V4
X86_64软件包下载地址:
http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/libg/libgd2/libgd-dev_2.1.1-4kord0.16.04.12+esm1_amd64.deb
http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/libg/libgd2/libgd-tools_2.1.1-4kord0.16.04.12+esm1_amd64.deb
http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/libg/libgd2/libgd3_2.1.1-4kord0.16.04.12+esm1_amd64.deb
http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/libg/libgd2/libgd-tools_2.1.1-4kord0.16.04.12+esm1_arm64.deb
http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/libg/libgd2/libgd3_2.1.1-4kord0.16.04.12+esm1_arm64.deb
银河麒麟桌面操作系统V10 SP1
X86_64软件包下载地址:
http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/libg/libgd2/libgd3_2.2.5-5.2kylin2.1_amd64.deb
http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/libg/libgd2/libgd-tools_2.2.5-5.2kylin2.1_amd64.deb
http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/libg/libgd2/libgd-dev_2.2.5-5.2kylin2.1_amd64.deb
http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/libg/libgd2/libgd3_2.2.5-5.2kylin2.1_arm64.deb
http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/libg/libgd2/libgd-tools_2.2.5-5.2kylin2.1_arm64.deb
http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/libg/libgd2/libgd-dev_2.2.5-5.2kylin2.1_arm64.deb
http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/libg/libgd2/libgd-tools_2.2.5-5.2kylin2.1_mips64el.deb
http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/libg/libgd2/libgd-dev_2.2.5-5.2kylin2.1_mips64el.deb