セキュリティ情報 / 2012 / セキュリティ情報 -- DSA-2575-1 tiff

Debian セキュリティ勧告

DSA-2575-1 tiff -- ヒープベースのバッファオーバフロー

報告日時:

2012-11-18

影響を受けるパッケージ:

tiff

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2012-4564.

詳細:

TIFF の操作および変換ユーティリティ群である TIFF ツールの ppm2tiff が整数オーバフローを検出するための内部関数の戻り値を適切に確認していないことが発見されました。 結果として、ppm2tiff はヒープベースのバッファオーバフローを起こします。 これにより、特に画像を自動的に処理させているような状況で、攻撃者は細工した PPM 画像を経由して任意のコードを実行できる可能性があります。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバージョン 3.9.4-5+squeeze7 で修正されています。

テスト版 (testing) ディストリビューション (wheezy) では、この問題は近く修正予定です。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 4.0.2-5 で修正されています。

直ちに tiff パッケージをアップグレードすることを勧めます。