リモートの Ubuntu 16.04 ESM / 18.04 LTS / 20.04 LTS / 22.04 LTS / 22.10 ホストには、USN-5923-1 アドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

  - LibTIFF 4.4.0 には、tools/tiffcrop.c: 3488 の tiffcrop に領域外読み取りがあります。これにより、攻撃者が細工された tiff ファイルを介してサービス拒否を引き起こす可能性があります。ソースから libtiff をコンパイルするユーザーの場合、修正はコミット afaabc3e で利用可能です。(CVE-2023-0795)

  - LibTIFF 4.4.0には、tools/tiffcrop.c: 3592 の tiffcrop に領域外読み取りがあります。これにより、攻撃者が細工された tiff ファイルを介してサービス拒否を引き起こす可能性があります。ソースから libtiff をコンパイルするユーザーの場合、修正はコミット afaabc3e で利用可能です。(CVE-2023-0796)

  - LibTIFF 4.4.0には、libtiff/tif_unix.c: 368 (tools/tiffcrop.c: 2903 と tools/tiffcrop.c: 6921 から呼び出される) の tiffcrop に領域外読み取りがあります。これにより、攻撃者が細工された tiff ファイルを介してサービス拒否を引き起こす可能性があります。ソースから libtiff をコンパイルするユーザーの場合、修正はコミット afaabc3e で利用可能です。
    (CVE-2023-0797)

  - LibTIFF 4.4.0には、tools/tiffcrop.c: 3400 の tiffcrop に領域外読み取りがあります。これにより、攻撃者が細工された tiff ファイルを介してサービス拒否を引き起こす可能性があります。ソースから libtiff をコンパイルするユーザーの場合、修正はコミット afaabc3e で利用可能です。(CVE-2023-0798)

  - LibTIFF 4.4.0には、tools/tiffcrop.c: 3701 の tiffcrop に領域外読み取りがあります。これにより、攻撃者が細工された tiff ファイルを介してサービス拒否を引き起こす可能性があります。ソースから libtiff をコンパイルするユーザーの場合、修正はコミット afaabc3e で利用可能です。(CVE-2023-0799)

  - LibTIFF 4.4.0には、tools/tiffcrop.c: 3502 の tiffcrop に領域外書き込みがあります。これにより、攻撃者が細工された tiff ファイルを介してサービス拒否を引き起こす可能性があります。ソースから libtiff をコンパイルするユーザーの場合、修正はコミット 33aee127 で利用可能です。(CVE-2023-0800)

  - LibTIFF 4.4.0には、libtiff/tif_unix.c: 368 (tools/tiffcrop.c: 2903 と tools/tiffcrop.c: 6778 から呼び出される) の tiffcrop に領域外書き込みがあります。これにより、攻撃者が細工された tiff ファイルを介してサービス拒否を引き起こす可能性があります。ソースから libtiff をコンパイルするユーザーの場合、修正はコミット 33aee127 で利用可能です。
    (CVE-2023-0801)

  - LibTIFF 4.4.0 には、tools/tiffcrop.c: 3724 に領域外書き込みがあります。これにより、攻撃者が細工された tiff ファイルを介してサービス拒否を引き起こす可能性があります。ソースから libtiff をコンパイルするユーザーの場合、修正はコミット 33aee127 で利用可能です。(CVE-2023-0802)

  - LibTIFF 4.4.0 には、tools/tiffcrop.c: 3516 の tiffcrop に領域外書き込みがあります。これにより、攻撃者が細工された tiff ファイルを介してサービス拒否を引き起こす可能性があります。ソースから libtiff をコンパイルするユーザーの場合、修正はコミット 33aee127 で利用可能です。(CVE-2023-0803)

  - LibTIFF 4.4.0 には、tools/tiffcrop.c: 3609 に領域外書き込みがあります。これにより、攻撃者が細工された tiff ファイルを介してサービス拒否を引き起こす可能性があります。ソースから libtiff をコンパイルするユーザーの場合、修正はコミット 33aee127 で利用可能です。(CVE-2023-0804)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存しています。

検出

Ubuntu 16.04 ESM / 18.04 LTS / 20.04 LTS / 22.04 LTS : LibTIFF の脆弱性 (USN-5923-1)

medium Nessus プラグイン ID 172213

バージョン 1.3