Debian DSA-2552-1：tiff - 複数の脆弱性

high Nessus プラグイン ID 62317

Language:

概要

リモート Debian ホストに、セキュリティ更新がありません。

説明

Tag Image File Format（TIFF）をサポートするための一連のライブラリとツールである TIFF で、サービス拒否や権限昇格が可能となる、いくつかの脆弱性が発見されました。

これらの脆弱性は、特別に細工された TIFF 画像を通じて、悪用される可能性があります。

- CVE-2012-2113 tiff2pdf ユーティリティにおいて、画像を解析する際に整数オーバーフローのエラーが発生します。

- CVE-2012-3401 Huzaifa Sidhpurwala 氏は、t2p_read_tiff_init() 関数にヒープベースのバッファオーバーフローがあることを発見しました。

- CVE-2010-2482 無効な td_stripbytecount フィールドが適切に処理されないため、NULL ポインターデリファレンスを発生させる可能性があります。

- CVE-2010-2595 TIFFYCbCrtoRGB 関数での「downsampled OJPEG input」に関連する、配列インデックスエラーにより、想定外のクラッシュが引き起こされます。

- CVE-2010-2597 また、「downsampled OJPEG input」に関連して、TIFFVStripSize 関数が予期せずクラッシュします。

- CVE-2010-2630 TIFFReadDirectory 関数は、TIFF ファイルで位置に乱れがある codec-specific タグのデータ型を適切に検証していません。

- CVE-2010-4665 tiffdump ユーティリティにおいて、ReadDirectory 関数に整数オーバーフローがあります。