Mandriva Linux 安全公告:libtiff (MDVSA-2013:046)
high Nessus 插件 ID 66060
语言:
简介
远程 Mandriva Linux 主机缺少一个或多个安全更新。描述
更新后的 libtiff 程序包修复了安全漏洞:libtiff 在有符号和无符号整数值之间的转换不正确,导致缓冲区溢出。攻击者可利用此缺陷创建特别构建的 TIFF 文件,打开该文件时可导致链接到 libtiff 的应用程序崩溃,还可能导致执行任意代码 (CVE-2012-2088)。
在 tiff2pdf 工具中发现多种整数溢出缺陷,可导致基于堆的缓冲区溢出。攻击者可利用这些缺陷创建特别构建的 TIFF 文件,可导致 tiff2pdf 崩溃或可能执行任意代码 (CVE-2012-2113)。
Huzaifa Sidhpurwala 发现 tiff2pdf 实用工具未正确处理一些格式不正确的 TIFF 图像。如果用户或自动化系统受到诱骗打开特别构建的 TIFF 图像,远程攻击者可使应用程序崩溃,从而导致拒绝服务或可能以用户的权限执行任意代码 (CVE-2012-3401)。
已发现 libtiff 使用 PixarLog 压缩解析文件时存在缓冲区溢出,可导致任意代码执行 (CVE-2012-4447)。
ppm2tiff 不检查 TIFFScanlineSize 函数的返回值,这可让远程攻击者造成拒绝服务(崩溃),并且可能通过构建的 PPM 图像执行任意代码,触发整数溢出、零内存分配和基于堆的缓冲区溢出 (CVE-2012-4564)。
已发现 LibTIFF 没有通过 DOTRANGE 标签来正确地处理某些畸形图像。如果用户或自动化系统受到诱骗打开特别构建的 TIFF 图像,远程攻击者可使应用程序崩溃,从而导致拒绝服务或可能以用户的权限执行任意代码 (CVE-2012-5581)。
解决方案
更新受影响的数据包。插件详情
严重性: High
ID: 66060
文件名: mandriva_MDVSA-2013-046.nasl
版本: 1.8
类型: local
发布时间: 2013/4/20
最近更新时间: 2021/1/6
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 6.7
CVSS v2
风险因素: High
基本分数: 7.5
时间分数: 6.5
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
漏洞信息
CPE: p-cpe:/a:mandriva:linux:lib64tiff-devel, p-cpe:/a:mandriva:linux:lib64tiff-static-devel, p-cpe:/a:mandriva:linux:lib64tiff5, p-cpe:/a:mandriva:linux:libtiff-progs, cpe:/o:mandriva:business_server:1
必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list
易利用性: No known exploits are available
补丁发布日期: 2013/4/5
参考资料信息
CVE: CVE-2012-2088, CVE-2012-2113, CVE-2012-3401, CVE-2012-4447, CVE-2012-4564, CVE-2012-5581
BID: 54076, 54270, 54601, 55673, 56372, 56715
MDVSA: 2013:046
MGASA: 2012-0137, 2012-0181, 2012-0317, 2012-0332, 2012-0355