以下是关于漏洞的关键信息: 漏洞公告: Debian LTS Advisory DLA-2672-1 涉及软件和版本: - Package: libwebp - Version: 0.5.2-1+deb9u1 已发现的安全问题: - CVE-2018-25009: 函数WebPMuxCreateInternal中存在越界读取。 - CVE-2018-25010: 函数ApplyFilter中存在越界读取。 - CVE-2018-25011: 函数PutLE16中存在堆基缓冲区溢出。 - CVE-2018-25012: 函数WebPMuxCreateInternal中的越界读取。 - CVE-2018-25013: 函数ShiftBytes中的越界读取。 - CVE-2018-25014: 函数ReadSymbol中使用未初始化变量。 - CVE-2020-36328: 函数WebPDecodeRGBInto中可能出现堆基缓冲区溢出,由于未对缓冲区大小进行有效检查。 - CVE-2020-36329: 由于线程提前结束,发生使用已释放内存的情况。 - CVE-2020-36330: 函数ChunkVerifyAndAssign中的越界读取。 - CVE-2020-36331: 函数ChunkAssignData中的越界读取。 威胁说明: 这些漏洞的最大威胁是数据的机密性和完整性,以及系统和服务的可用性。 解决措施: 在libwebp Debian 9 Stretch版本中,已经通过版本0.5.2-1+deb9u1修正了这些问题。 进一步信息: - libwebp的安全状态可以在安全跟踪页面上查找: libwebp安全跟踪页 - 关于Debian LTS安全公告的更多细节、应用更新到系统的方法和常见问题解答,请访问: !LTS页面