リモートホストは、GLSA-201701-16（libTIFF：複数の脆弱性）で記述されている脆弱性に影響されています。複数の脆弱性がlibTIFFで発見されています。詳細については、記載されているCVE識別番号とバグレポートを参照してください。影響：リモートの攻撃者がユーザーを誘導して、特別に細工されたイメージファイルを処理させる可能性があります。その結果、プロセスの権限で任意のコードが実行されたり、サービス拒否状態が引き起こされたりする可能性があります。回避策：現時点では、既知の回避策はありません。

このtiffの更新では、次の問題を修正します：

修正されたセキュリティ問題：

CVE-2018-18661：tif_lzw.cファイルのLZWDecode関数のNULLポインターデリファレンスが修正されました（bsc#1113672）。

CVE-2018-12900：cpSeparateBufToContigBufのヒープベースのバッファオーバーフローが修正されました（bsc#1099257）。

CVE-2017-9147：tif_dir.cの_TIFFVGetField関数により、リモート攻撃者が、細工されたTIFFファイルを介して、DoSを引き起こすことができました（bsc#1040322）。

CVE-2017-9117：biWidthとbiHeightの値なしで検証されたBMP画像処理が修正されました（bsc#1040080）。

CVE-2017-17942：ヒープオーバーフローにつながり、DoSを引き起こす可能性のあるPackBitsEncode関数の問題が修正されました（bsc#1074186）。

CVE-2016-9273：ヒープベースのバッファオーバーフローの問題が修正されました（bsc#1010163）。

CVE-2016-5319：PackBitsEncodeのヒープベースのバッファオーバーフローが修正されました（bsc#983440）。

CVE-2016-3621：bmp2tiffツールでの領域外読み取りを修正します（lzw packing）（bsc#974448）

CVE-2016-3620：bmp2tiffツールでの領域外読み取りを修正します（zip packing）（bsc#974447）

CVE-2016-3619：bmp2tiffツールでの領域外読み取りを修正します（none packing）（bsc#974446）

CVE-2015-8870：リモート攻撃者がDOSを引き起こすことができたtools/bmp2tiff.cの整数オーバーフローが修正されました（bsc#1014461）。

修正されたセキュリティ以外の問題：asan_build：ビルドASANが含まれます

debug_build：デバッグにより適したビルド

注意：Tenable Network Securityは、前述の記述ブロックをSUSEセキュリティアドバイザリから直接抽出しています。Tenableでは、そこに新しい問題を追加することはせずに、できる限り自動的に整理と書式設定をするようにしています。

バージョン 4.0.2-6+deb7u7 で導入された変更の結果として、使用中の圧縮スキームが画像に埋め込まれたコード固有の TIFF タグに依存している場合、libtiff が tiff ファイルを書き出すことができません。この問題は次のようなエラーで明らかになります : $ tiffcp -r 16 -c jpeg sample.tif out.tif _TIFFVGetField: out.tif: Invalid tag 'Predictor' (not supported by codec). _TIFFVGetField: out.tif: Invalid tag 'BadFaxLines' (not supported by codec). tiffcp: tif_dirwrite.c:687: TIFFWriteDirectorySec: Assertion `0' failed. Debian 7 'Wheezy' では、これらの問題はバージョン 4.0.2-6+deb7u10 で修正されています。tiff パッケージをアップグレードすることを推奨します。注 : Tenable Network Securityは、前述の記述ブロックをDLAセキュリティアドバイザリから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - LibTIFF 4.0.6 以前の bmp2tiff ツールの tif_lzw.c の LZWEncode 関数により、-c lzw オプションの使用時に、リモートの攻撃者が細工された BMP 画像を介してサービス拒否（バッファオーバーリード）を引き起こす可能性があります。 （CVE-2016-3621）

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

ID	名前	製品	ファミリー	公開日	更新日	深刻度
96373	GLSA-201701-16：libTIFF：複数の脆弱性	Nessus	Gentoo Local Security Checks	2017/1/10	2021/1/11	critical
119143	SUSE SLES11セキュリティ更新プログラム：tiff（SUSE-SU-2018:3879-1）	Nessus	SuSE Local Security Checks	2018/11/26	2024/7/19	critical
94474	Debian DLA-685-2 : tiff 回帰の更新	Nessus	Debian Local Security Checks	2016/11/3	2021/1/11	critical
219601	Linux Distros のパッチ未適用の脆弱性: CVE-2016-3621	Nessus	Misc.	2025/3/4	2025/8/25	high

検出

プラグインの検索

critical

critical

critical

high