検出

GLSA-201612-55:libjpeg-turbo:ユーザー支援による任意のコード実行

medium Nessus プラグイン ID 96230

Language:

概要

リモートのGentooホストに1つ以上のセキュリティ関連のパッチがありません。

説明

リモートホストは、GLSA-201612-55(libjpeg-turbo:ユーザー支援による任意のコード実行)に記載されている脆弱性に影響されています。以前は、入力バッファに128バイトがある場合、加速化されたHuffmanデコーダーが呼び出されました。ただし、Huffmanブロックの長さが430バイトを超える場合、JPEG画像を構築することができます。このリリースでは、高速化されたHuffmanデコーダーの最小バッファーサイズを512バイトに増やしただけですが、あらゆる入力に対応できるようになるはずです。影響:リモートの攻撃者は、特別に細工された画像ファイルを実行するように被害者に強制し、任意のコードを実行する可能性があります。回避策:現時点では、既知の回避策はありません。

ソリューション

libjpeg-turboの全ユーザーは、最新バージョンへアップグレードする必要があります:# emerge --sync # emerge --ask --oneshot --verbose '>=media-libs/libjpeg-turbo-1.5.0'

参考資料

https://wiki.mozilla.org/images/7/77/Libjpeg-turbo-report.pdf

http://www.nessus.org/u?66e8f916

https://security.gentoo.org/glsa/201612-55

プラグインの詳細

深刻度: Medium

ID: 96230

ファイル名: gentoo_GLSA-201612-55.nasl

バージョン: 3.2

タイプ: local

公開日: 2017/1/3

更新日: 2021/1/11

サポートされているセンサー: Nessus

脆弱性情報

CPE: p-cpe:/a:gentoo:linux:libjpeg-turbo, cpe:/o:gentoo:linux

必要な KB アイテム: Host/local_checks_enabled, Host/Gentoo/release, Host/Gentoo/qpkg-list

パッチ公開日: 2016/12/31

参照情報

GLSA: 201612-55