Säkerhetsinformation / 2013 / Säkerhetsinformation -- DSA-2698-1 tiff

Säkerhetsbulletin från Debian

DSA-2698-1 tiff -- buffertspill

Rapporterat den:

2013-06-18

Berörda paket:

tiff

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 706674, Fel 706675.
I Mitres CVE-förteckning: CVE-2013-1960, CVE-2013-1961.

Ytterligare information:

Flera sårbarheter har upptäckts i TIFF-verktygen, en uppsättning hjälpmedel för manipulering och konvertering av TIFF-bilder.

• CVE-2013-1960

  Emmanuel Bouillon upptäckte ett heap-baserat buffertspill i funktionen tp_process_jpeg_strip i verktyget tiff2pdf. Detta kan potentiellt leda till en krasch eller exekvering av skadlig kod.

• CVE-2013-1961

  Emmanuel Bouillon upptäckte många stackbaserade buffertspill i TIFF-verktygen. Dessa problem kunde potentiellt leda till en krasch eller exekvering av skadlig kod.

För den gamla stabila utgåvan (Squeeze) har dessa problem rättats i version 3.9.4-5+squeeze9.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 4.0.2-6+deb7u1.

För uttestningsutgåvan (Jessie) kommer dessa problem att rättas inom kort.

För den instabila utgåvan (Sid) har dessa problem rättats i version 4.0.2-6+nmu1.

Vi rekommenderar att ni uppgraderar era tiff-paket.