Debian DLA-2214-1: libexifセキュリティ更新

critical Nessus プラグイン ID 136674

Language:

概要

リモートの Debian ホストにセキュリティ更新プログラムがありません。

説明

EXIFメタデータファイルを解析するライブラリであるlibexifで、様々な脆弱性に対処しています。

CVE-2016-6328

入力ファイルのMNOTEエントリデータを解析する際に、整数オーバーフローが見つかりました。これにより、サービス拒否（DoS）および情報漏洩（一部の重要なヒープチャンクメタデータ、さらにその他のアプリケーションのプライベートデータの開示）を引き起こす恐れがあります。

CVE-2017-7544

libexifは、サービス拒否や情報漏洩を引き起こす可能性があるExifMnoteエントリの割り当てデータの不適切な長さの計算により、libexif / exif-data.cのexif_data_save_data_entry関数の領域外ヒープ読み取りに対する脆弱性がありました。

CVE-2018-20030

libexifバージョンでEXIF_IFD_INTEROPeraBILITYおよびEXIF_IFD_EXIFタグを処理する際のエラーが悪用され、利用可能なCPUリソースが枯渇する可能性があります。

CVE-2020-0093

exif-data.cのexif_data_save_data_entryでは、境界チェックが欠落しているために領域外読み取りが発生する可能性があります。これにより、追加の実行権限が不要になり、ローカル情報漏洩が引き起こされる可能性があります。悪用にはユーザーの操作が必要です。

CVE-2020-12767

libexifでexif-entry.cのexif_entry_get_valueにゼロ除算エラーが発生しました。

Debian 8「Jessie」では、これらの問題はバージョン0.6.21-2+deb8u2で修正されました。

libexifのパッケージをアップグレードすることをお勧めします。

注: Tenable Network Securityは、前述の記述ブロックを DLA セキュリティアドバイザリから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。