Debian-Sicherheitsankündigung

DSA-1487-1 libexif -- Mehrere Verwundbarkeiten

Datum des Berichts:
08. Feb 2008
Betroffene Pakete:
libexif
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In Mitres CVE-Verzeichnis: CVE-2007-2645, CVE-2007-6351, CVE-2007-6352.
Weitere Informationen:

Im EXIF-Parsing-Code der Libexif-Bibliothek wurden mehrere Verwundbarkeiten entdeckt, die zu Diensteverweigerungen (Denial of Service) oder der Ausführung beliebigen Codes führen können, falls der Benutzer dazu verführt werden kann, ein fehlerhaftes Bild zu öffnen. Das Common Vulnerabilities and Exposures project identifiziert die folgenden Probleme:

  • CVE-2007-2645

    Victor Stinner entdeckte einen Integer-Überlauf, der zur Diensteverweigerung oder möglicherweise der Ausführung beliebigen Codes führen könnte.

  • CVE-2007-6351

    Meder Kydyraliev entdeckte eine Endlosschleife, die zur Diensteverweigerung führen könnte.

  • CVE-2007-6352

    Victor Stinner entdeckte einen Integer-Überlauf, der zur Diensteverweigerung oder möglicherweise der Ausführung beliebigen Codes führen könnte.

Diese Aktualisierung behebt auch zwei mögliche NULL-Zeiger-Dereferenzierungen.

Für die alte stabile Distribution (Sarge) wurden diese Probleme in 0.6.9-6sarge2 behoben.

Für die stabile Distribution (Etch) wurden diese Probleme in Version 0.6.13-5etch2 behoben.

Wir empfehlen, dass Sie Ihre Libexif-Pakete aktualisieren.

Behoben in:

Debian GNU/Linux 3.1 (oldstable)

Quellcode:
http://security.debian.org/pool/updates/main/libe/libexif/libexif_0.6.9.orig.tar.gz
http://security.debian.org/pool/updates/main/libe/libexif/libexif_0.6.9-6sarge2.dsc
http://security.debian.org/pool/updates/main/libe/libexif/libexif_0.6.9-6sarge2.diff.gz
Alpha:
http://security.debian.org/pool/updates/main/libe/libexif/libexif-dev_0.6.9-6sarge2_alpha.deb
http://security.debian.org/pool/updates/main/libe/libexif/libexif10_0.6.9-6sarge2_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/libe/libexif/libexif-dev_0.6.9-6sarge2_amd64.deb
http://security.debian.org/pool/updates/main/libe/libexif/libexif10_0.6.9-6sarge2_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/libe/libexif/libexif-dev_0.6.9-6sarge2_arm.deb
http://security.debian.org/pool/updates/main/libe/libexif/libexif10_0.6.9-6sarge2_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/libe/libexif/libexif10_0.6.9-6sarge2_i386.deb
http://security.debian.org/pool/updates/main/libe/libexif/libexif-dev_0.6.9-6sarge2_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/libe/libexif/libexif-dev_0.6.9-6sarge2_ia64.deb
http://security.debian.org/pool/updates/main/libe/libexif/libexif10_0.6.9-6sarge2_ia64.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/libe/libexif/libexif-dev_0.6.9-6sarge2_m68k.deb
http://security.debian.org/pool/updates/main/libe/libexif/libexif10_0.6.9-6sarge2_m68k.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/libe/libexif/libexif-dev_0.6.9-6sarge2_mips.deb
http://security.debian.org/pool/updates/main/libe/libexif/libexif10_0.6.9-6sarge2_mips.deb
Little-endian MIPS:
http://security.debian.org/pool/updates/main/libe/libexif/libexif-dev_0.6.9-6sarge2_mipsel.deb
http://security.debian.org/pool/updates/main/libe/libexif/libexif10_0.6.9-6sarge2_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/libe/libexif/libexif10_0.6.9-6sarge2_powerpc.deb
http://security.debian.org/pool/updates/main/libe/libexif/libexif-dev_0.6.9-6sarge2_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/libe/libexif/libexif10_0.6.9-6sarge2_s390.deb
http://security.debian.org/pool/updates/main/libe/libexif/libexif-dev_0.6.9-6sarge2_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/libe/libexif/libexif-dev_0.6.9-6sarge2_sparc.deb
http://security.debian.org/pool/updates/main/libe/libexif/libexif10_0.6.9-6sarge2_sparc.deb

Debian GNU/Linux 4.0 (stable)

Quellcode:
http://security.debian.org/pool/updates/main/libe/libexif/libexif_0.6.13.orig.tar.gz
http://security.debian.org/pool/updates/main/libe/libexif/libexif_0.6.13-5etch2.dsc
http://security.debian.org/pool/updates/main/libe/libexif/libexif_0.6.13-5etch2.diff.gz
Alpha:
http://security.debian.org/pool/updates/main/libe/libexif/libexif12_0.6.13-5etch2_alpha.deb
http://security.debian.org/pool/updates/main/libe/libexif/libexif-dev_0.6.13-5etch2_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/libe/libexif/libexif-dev_0.6.13-5etch2_amd64.deb
http://security.debian.org/pool/updates/main/libe/libexif/libexif12_0.6.13-5etch2_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/libe/libexif/libexif12_0.6.13-5etch2_arm.deb
http://security.debian.org/pool/updates/main/libe/libexif/libexif-dev_0.6.13-5etch2_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/libe/libexif/libexif12_0.6.13-5etch2_i386.deb
http://security.debian.org/pool/updates/main/libe/libexif/libexif-dev_0.6.13-5etch2_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/libe/libexif/libexif12_0.6.13-5etch2_ia64.deb
http://security.debian.org/pool/updates/main/libe/libexif/libexif-dev_0.6.13-5etch2_ia64.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/libe/libexif/libexif-dev_0.6.13-5etch2_mips.deb
http://security.debian.org/pool/updates/main/libe/libexif/libexif12_0.6.13-5etch2_mips.deb
Little-endian MIPS:
http://security.debian.org/pool/updates/main/libe/libexif/libexif12_0.6.13-5etch2_mipsel.deb
http://security.debian.org/pool/updates/main/libe/libexif/libexif-dev_0.6.13-5etch2_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/libe/libexif/libexif12_0.6.13-5etch2_powerpc.deb
http://security.debian.org/pool/updates/main/libe/libexif/libexif-dev_0.6.13-5etch2_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/libe/libexif/libexif12_0.6.13-5etch2_s390.deb
http://security.debian.org/pool/updates/main/libe/libexif/libexif-dev_0.6.13-5etch2_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/libe/libexif/libexif12_0.6.13-5etch2_sparc.deb
http://security.debian.org/pool/updates/main/libe/libexif/libexif-dev_0.6.13-5etch2_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.