Säkerhetsbulletin från Debian

DSA-2575-1 tiff -- heap-baserat buffertspill

Rapporterat den:
2012-11-18
Berörda paket:
tiff
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2012-4564.
Ytterligare information:

Man har upptäckt att ppm2tiff från TIFF-verktygen, en uppsättning verktyg för TIFF-manipulering och konvertering, inte tillräckligt kontrollerar returnvärdet från en intern funktion som används för att detektera heltalsspill. Det får konsekvensen att ppm2tiff kan drabbas av heap-baserat buffertspill. Detta tillåter angripare att potentiellt exekvera godtycklig kod via en skapad PPM-bild, speciellt i scenarier där bilder behandlas automatiskt.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 3.9.4-5+squeeze7.

För uttestningsutgåvan (Wheezy), kommer detta problem rättas inom kort.

För den instabila utgåvan (Sid) har detta problem rättats i version 4.0.2-5.

Vi rekommenderar att ni uppgraderar era tiff-paket.