EXIFメタデータファイルを解析するライブラリであるlibexifで、いくつかのマイナーな脆弱性に対処しています。

CVE-2018-20030

この問題は、 DLA-2214-1ですでに対処済みです。ただし、upstreamは更新済みのパッチを提供していたため、これはフォローされています。

CVE-2020-13112

EXIF MakerNote処理における複数のバッファオーバーリードは、情報漏洩とクラッシュにつながる可能性があります。この問題は、すでに解決されているCVE-2020-0093とは異なります。

CVE-2020-13113

EXIF Makernote処理における初期化されていないメモリの使用により、クラッシュとメモリ解放後使用（Use After Free）状態が発生する可能性があります。

CVE-2020-13114

Canon EXIF MakerNoteデータの処理においてサイズが制限されないため、EXIFデータのデコードに大量の計算時間が消費される可能性があります。

Debian 8「Jessie」では、これらの問題はバージョン0.6.21-2+deb8u3で修正されました。

libexifのパッケージをアップグレードすることをお勧めします。

注: Tenable Network Securityは、前述の記述ブロックを DLA セキュリティアドバイザリから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

検出

Debian DLA-2222-1: libexifセキュリティ更新

critical Nessus プラグイン ID 136952

バージョン 1.6