[PHP-users 22946]libpngの脆弱性はPHPの再コンパイルの必要あるのか？

2004年 8月 5日 (木) 16:47:50 JST

渡辺です。
今日、JPCERTからこんな報告が。

=======ここから
libpng に複数の脆弱性
http://www.jpcert.or.jp/at/2004/at040010.txt

I. 概要

  PNG (Portable Network Graphics) 形式の画像処理ライブラリ libpng のバー
ジョン 1.2.5 およびそれ以前には、バッファオーバーフローなど複数の脆弱
性があります。結果として、遠隔から第三者が PNG 形式の画像ファイルを経
由して、libpng を使用したアプリケーションを実行しているユーザの権限を
取得する可能性があります。

  この問題は、使用している OS およびアプリケーションのベンダや配布元が
提供するパッチを適用する、または libpng をバージョン 1.2.6rc1 (もしく
はそれ以降) に更新することで解決します。

(途中省略)

  なお、libpng を静的にリンクしているアプリケーションの場合は、libpng 
を更新後にアプリケーションを再コンパイル (再リンク) する必要があります。
=======ここまで


はたと思って手元の環境（PHP 4.3.8 RedHatLinux9）を確認したら、

$ rpm -qa | grep libpng
libpng-1.2.2-16
libpng-devel-1.2.2-16

思いっきり該当するし。(^^;
この場合、libpngのバージョンをあげた後で、
PHPのエンジンって再コンパイルする必要ありなのでしょうか？
＃ Makefileとかのどのへん調査したらいいのかすらよくわからんので^^;

ちなみに自分のPHPのconfigureのgd関係のオプションは

--with-gd 
--with-png-dir=/usr/lib 
--with-jpeg-dir=/usr/lib 
--with-zlib

でやってます。