Oracle Linux 3/4/5：libtiff（ELSA-2009-1159）

high Nessus プラグイン ID 67892

Language:

概要

リモート Oracle Linux ホストに、1 つ以上のセキュリティ更新がありません。

説明

Red Hat セキュリティアドバイザリ 2009:1159 から：

複数のセキュリティ問題を修正する更新済みの libtiff パッケージが、Red Hat Enterprise Linux 3、4、および 5 で現在利用可能です。

Red Hat セキュリティレスポンスチームは、この更新は重要度中のセキュリティ影響があると評価しています。

libtiff パッケージには、Tagged Image File Format（TIFF）ファイルを操作するための関数のライブラリが含まれます。

さまざまな libtiff カラースペース変換ツールに、ヒープベースのバッファオーバーフローを引き起こす複数の整数オーバーフローの欠陥が見つかりました。
攻撃者が、特別に細工された TIFF ファイルを作成し、無防備なユーザーがこれを開いた場合に、変換ツールをクラッシュさせたり、ツールを実行しているユーザーの権限で任意のコードを実行したりすることが可能です。(CVE-2009-2347)

libtiff の Lempel-Ziv-Welch（LZW）の圧縮アルゴリズムデコーダーに、バッファアンダーライトの欠陥が見つかりました。攻撃者が、特別に細工された LZW でエンコードされた TIFF ファイルを作成し、無防備なユーザーがこれを開いた場合に、libtiff にリンクされているアプリケーションに領域外のメモリロケーションにアクセスさせる可能性があります。これにより、サービス拒否（アプリケーションクラッシュ）が引き起こされる可能性があります。(CVE-2009-2285)

CVE-2009- 2347 の欠陥は、北京大学 ICST-ERCIS の Tielei Wang 氏により発見されました。

libtiff の全ユーザーは、バックポートされたパッチを含むこれらの更新済みパッケージにアップグレードし、これらの問題を修正する必要があります。この更新をインストールした後、更新を有効にするには、libtiff ライブラリにリンクされた全アプリケーション（Konqueror など）を再起動する必要があります。