Scientific Linux セキュリティ更新:i386/x86_64 の SL3.0.x、SL 4.x、SL 5.x 用の libtiff
high Nessus プラグイン ID 60623
Language:
概要
リモート Scientific Linux ホストに 1 つ以上のセキュリティ更新がありません。説明
CVE-2009-2285 libtiff:LZWDecodeCompat アンダーフローCVE-2009-2347 libtiff:多様なカラースペース間変換ツールの整数オーバーフロー(クラッシュ、ACE)
さまざまな libtiff カラースペース変換ツールに、ヒープベースのバッファオーバーフローを引き起こす複数の整数オーバーフローの欠陥が見つかりました。
攻撃者が、特別に細工された TIFF ファイルを作成し、無防備なユーザーがこれを開いた場合に、変換ツールをクラッシュさせたり、ツールを実行しているユーザーの権限で任意のコードを実行したりすることが可能です。(CVE-2009-2347)
libtiff の Lempel-Ziv-Welch(LZW)の圧縮アルゴリズムデコーダーに、バッファアンダーライトの欠陥が見つかりました。攻撃者が、特別に細工された LZW でエンコードされた TIFF ファイルを作成し、無防備なユーザーがこれを開いた場合に、libtiff にリンクされているアプリケーションに領域外のメモリロケーションにアクセスさせる可能性があります。これにより、サービス拒否(アプリケーションクラッシュ)が引き起こされる可能性があります。(CVE-2009-2285)
CVE-2009- 2347 の欠陥は、北京大学 ICST-ERCIS の Tielei Wang 氏により発見されました。
ソリューション
影響を受ける libtiff および libtiff-devel パッケージを更新してください。参考資料
プラグインの詳細
深刻度: High
ID: 60623
ファイル名: sl_20090728_libtiff_for_SL3_0_x.nasl
バージョン: 1.7
タイプ: local
エージェント: unix
公開日: 2012/8/1
更新日: 2021/1/14
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: High
基本値: 9.3
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C
脆弱性情報
CPE: x-cpe:/o:fermilab:scientific_linux
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/RedHat/release, Host/RedHat/rpm-list
参照情報
CVE: CVE-2009-2285, CVE-2009-2347