Рекомендация Debian по безопасности

DLA-221-1 tiff -- обновление безопасности LTS

Дата сообщения:
16.05.2015
Затронутые пакеты:
tiff
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 773987.
В каталоге Mitre CVE: CVE-2014-8128, CVE-2014-8129, CVE-2014-9330, CVE-2014-9655.
Более подробная информация:

В LibTIFF, библиотеке и утилитах для работы с изображениями в формате TIFF, было обнаружено несколько уязвимостей. Эти проблемы приводят к отказу в обслуживании, раскрытию информации или повышению привилегий.

  • CVE-2014-8128

    Уильям Робине обнаружил, что в нескольких утилитах LibTIFF может возникать запись за пределами выделенного буфера при обработке специально сформированных файлов TIFF. Другие приложения, использующие LibTIFF, скорее всего тоже подвержены этой проблеме.

  • CVE-2014-8129

    Уильям Робине обнаружил, что чтение и запись за пределами выделенного буфера могут возникать в tiff2pdf при обработке специально сформированных файлов TIFF. Другие приложения, использующие LibTIFF, скорее всего тоже подвержены этой проблеме.

  • CVE-2014-9330

    Парис Зумпоулоглу обнаружил, что в bmp2tiff при обработке специально сформированных файлов BMP может возникать чтение и запись за пределами выделенного буфера.

  • CVE-2014-9655

    Михал Залевски обнаружил, что в LibTIFF при обработке файлов TIFF могут возникать чтения и запись за пределами выделенного буфера.

В предыдущем старом стабильном выпуске (squeeze) эти проблемы были исправлены в версии 3.9.4-5+squeeze12.

В предыдущем стабильном выпуске (wheezy) эти проблемы будут исправлены позже.

Стабильный выпуск (jessie) не подвержен этим проблемам, так как они были исправлены до момента выпуска jessie.