Informations de sécurité / 2006 / Informations sur la sécurité -- DSA-1137-1 tiff

Bulletin d'alerte Debian

DSA-1137-1 tiff -- Plusieurs vulnérabilités

Date du rapport :

2 août 2006

Paquets concernés :

tiff

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2006-3459, CVE-2006-3460, CVE-2006-3461, CVE-2006-3462, CVE-2006-3463, CVE-2006-3464, CVE-2006-3465.

Plus de précisions :

Tavis Ormandy de l'équipe de sécurité de Google a découvert plusieurs problèmes dans la bibliothèque TIFF. Le projet des expositions et vulnérabilités communes identifie les problèmes suivants :

• CVE-2006-3459

  Plusieurs dépassements de mémoire tampon de pile ont été découverts.

• CVE-2006-3460

  Une vulnérabilité de dépassement de pile dans le décodeur JPEG pourrait dépasser une mémoire tampon avec plus de données que ce qui est attendu.

• CVE-2006-3461

  Une vulnérabilité de dépassement de pile dans le décodeur PixarLog pourrait permettre à un attaquant d'exécuter un code arbitraire.

• CVE-2006-3462

  Une vulnérabilité de dépassement de pile a été découverte dans le décodeur NeXT RLE.

• CVE-2006-3463

  Une boucle a été découverte lorsque des mots courts non signés de 16 bits étaient utilisés pour faire une itération jusqu'à une valeur non signée de 32 bits ce qui engendrait une boucle qui ne se terminait jamais.

• CVE-2006-3464

  Plusieurs opérations arithmétiques non vérifiées ont été découvertes, dont un certain nombre d'opérations de vérification d'étendue faites pour s'assurer que les décalages spécifiés dans les répertoires TIFF sont légitimes.

• CVE-2006-3465

  Une faille a également été découverte dans la gestion des marques personnalisées de libtiffs ce qui pourrait entraîner un comportement anormal, des plantages ou peut-être l'exécution de code arbitraire.

Pour la distribution stable (Sarge), ce problème a été corrigé dans la version 3.7.2-7.

Pour la distribution instable (Sid), ce problème a été corrigé dans la version 3.8.2-6.

Nous vous recommandons de mettre à jour vos paquets libtiff.

Corrigé dans :

Debian GNU/Linux 3.1 (sarge)

Source :

http://security.debian.org/pool/updates/main/t/tiff/tiff_3.7.2-7.dsc

http://security.debian.org/pool/updates/main/t/tiff/tiff_3.7.2-7.diff.gz

http://security.debian.org/pool/updates/main/t/tiff/tiff_3.7.2.orig.tar.gz

Alpha:

http://security.debian.org/pool/updates/main/t/tiff/libtiff-opengl_3.7.2-7_alpha.deb

http://security.debian.org/pool/updates/main/t/tiff/libtiff-tools_3.7.2-7_alpha.deb

http://security.debian.org/pool/updates/main/t/tiff/libtiff4_3.7.2-7_alpha.deb

http://security.debian.org/pool/updates/main/t/tiff/libtiff4-dev_3.7.2-7_alpha.deb

http://security.debian.org/pool/updates/main/t/tiff/libtiffxx0_3.7.2-7_alpha.deb

AMD64:

http://security.debian.org/pool/updates/main/t/tiff/libtiff-opengl_3.7.2-7_amd64.deb

http://security.debian.org/pool/updates/main/t/tiff/libtiff-tools_3.7.2-7_amd64.deb

http://security.debian.org/pool/updates/main/t/tiff/libtiff4_3.7.2-7_amd64.deb

http://security.debian.org/pool/updates/main/t/tiff/libtiff4-dev_3.7.2-7_amd64.deb

http://security.debian.org/pool/updates/main/t/tiff/libtiffxx0_3.7.2-7_amd64.deb

ARM:

http://security.debian.org/pool/updates/main/t/tiff/libtiff-opengl_3.7.2-7_arm.deb

http://security.debian.org/pool/updates/main/t/tiff/libtiff-tools_3.7.2-7_arm.deb

http://security.debian.org/pool/updates/main/t/tiff/libtiff4_3.7.2-7_arm.deb

http://security.debian.org/pool/updates/main/t/tiff/libtiff4-dev_3.7.2-7_arm.deb

http://security.debian.org/pool/updates/main/t/tiff/libtiffxx0_3.7.2-7_arm.deb

Intel IA-32:

http://security.debian.org/pool/updates/main/t/tiff/libtiff-opengl_3.7.2-7_i386.deb

http://security.debian.org/pool/updates/main/t/tiff/libtiff-tools_3.7.2-7_i386.deb

http://security.debian.org/pool/updates/main/t/tiff/libtiff4_3.7.2-7_i386.deb

http://security.debian.org/pool/updates/main/t/tiff/libtiff4-dev_3.7.2-7_i386.deb

http://security.debian.org/pool/updates/main/t/tiff/libtiffxx0_3.7.2-7_i386.deb

Intel IA-64:

http://security.debian.org/pool/updates/main/t/tiff/libtiff-opengl_3.7.2-7_ia64.deb

http://security.debian.org/pool/updates/main/t/tiff/libtiff-tools_3.7.2-7_ia64.deb

http://security.debian.org/pool/updates/main/t/tiff/libtiff4_3.7.2-7_ia64.deb

http://security.debian.org/pool/updates/main/t/tiff/libtiff4-dev_3.7.2-7_ia64.deb

http://security.debian.org/pool/updates/main/t/tiff/libtiffxx0_3.7.2-7_ia64.deb

HPPA:

http://security.debian.org/pool/updates/main/t/tiff/libtiff-opengl_3.7.2-7_hppa.deb

http://security.debian.org/pool/updates/main/t/tiff/libtiff-tools_3.7.2-7_hppa.deb

http://security.debian.org/pool/updates/main/t/tiff/libtiff4_3.7.2-7_hppa.deb

http://security.debian.org/pool/updates/main/t/tiff/libtiff4-dev_3.7.2-7_hppa.deb

http://security.debian.org/pool/updates/main/t/tiff/libtiffxx0_3.7.2-7_hppa.deb

Motorola 680x0:

http://security.debian.org/pool/updates/main/t/tiff/libtiff-opengl_3.7.2-7_m68k.deb

http://security.debian.org/pool/updates/main/t/tiff/libtiff-tools_3.7.2-7_m68k.deb

http://security.debian.org/pool/updates/main/t/tiff/libtiff4_3.7.2-7_m68k.deb

http://security.debian.org/pool/updates/main/t/tiff/libtiff4-dev_3.7.2-7_m68k.deb

http://security.debian.org/pool/updates/main/t/tiff/libtiffxx0_3.7.2-7_m68k.deb

Big endian MIPS:

http://security.debian.org/pool/updates/main/t/tiff/libtiff-opengl_3.7.2-7_mips.deb

http://security.debian.org/pool/updates/main/t/tiff/libtiff-tools_3.7.2-7_mips.deb

http://security.debian.org/pool/updates/main/t/tiff/libtiff4_3.7.2-7_mips.deb

http://security.debian.org/pool/updates/main/t/tiff/libtiff4-dev_3.7.2-7_mips.deb

http://security.debian.org/pool/updates/main/t/tiff/libtiffxx0_3.7.2-7_mips.deb

Little endian MIPS:

http://security.debian.org/pool/updates/main/t/tiff/libtiff-opengl_3.7.2-7_mipsel.deb

http://security.debian.org/pool/updates/main/t/tiff/libtiff-tools_3.7.2-7_mipsel.deb

http://security.debian.org/pool/updates/main/t/tiff/libtiff4_3.7.2-7_mipsel.deb

http://security.debian.org/pool/updates/main/t/tiff/libtiff4-dev_3.7.2-7_mipsel.deb

http://security.debian.org/pool/updates/main/t/tiff/libtiffxx0_3.7.2-7_mipsel.deb

PowerPC:

http://security.debian.org/pool/updates/main/t/tiff/libtiff-opengl_3.7.2-7_powerpc.deb

http://security.debian.org/pool/updates/main/t/tiff/libtiff-tools_3.7.2-7_powerpc.deb

http://security.debian.org/pool/updates/main/t/tiff/libtiff4_3.7.2-7_powerpc.deb

http://security.debian.org/pool/updates/main/t/tiff/libtiff4-dev_3.7.2-7_powerpc.deb

http://security.debian.org/pool/updates/main/t/tiff/libtiffxx0_3.7.2-7_powerpc.deb

IBM S/390:

http://security.debian.org/pool/updates/main/t/tiff/libtiff-opengl_3.7.2-7_s390.deb

http://security.debian.org/pool/updates/main/t/tiff/libtiff-tools_3.7.2-7_s390.deb

http://security.debian.org/pool/updates/main/t/tiff/libtiff4_3.7.2-7_s390.deb

http://security.debian.org/pool/updates/main/t/tiff/libtiff4-dev_3.7.2-7_s390.deb

http://security.debian.org/pool/updates/main/t/tiff/libtiffxx0_3.7.2-7_s390.deb

Sun Sparc:

http://security.debian.org/pool/updates/main/t/tiff/libtiff-opengl_3.7.2-7_sparc.deb

http://security.debian.org/pool/updates/main/t/tiff/libtiff-tools_3.7.2-7_sparc.deb

http://security.debian.org/pool/updates/main/t/tiff/libtiff4_3.7.2-7_sparc.deb

http://security.debian.org/pool/updates/main/t/tiff/libtiff4-dev_3.7.2-7_sparc.deb

http://security.debian.org/pool/updates/main/t/tiff/libtiffxx0_3.7.2-7_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.