Debians sikkerhedsbulletin
DSA-2575-1 tiff -- heapbaseret bufferoverløb
- Rapporteret den:
- 18. nov 2012
- Berørte pakker:
- tiff
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2012-4564.
- Yderligere oplysninger:
-
Man opdagede, at ppm2tiff fra TIFF tools, et værktøjssæt til redigering af konvertering af TIFF-filer, ikke på korrekt vis kontrollerede returværdien fra en intern funktion, der anvendes til at opdage heltalsoverløb. Som følge heraf var ppm2tiff ramt af et heapbaseret bufferoverløb. Dermed var det potentielt muligt for en angriber at udføre vilkårlig kode via et fabrikeret PPM-billede, særligt under omstændigheder hvor billeder behandles automatisk.
I den stabile distribution (squeeze), er dette problem rettet i version 3.9.4-5+squeeze7.
I distributionen testing (wheezy), vil dette problem snart blive rettet.
I den ustabile distribution (sid), er dette problem rettet i version 4.0.2-5.
Vi anbefaler at du opgraderer dine tiff-pakker.