Sikkerhedsoplysninger / 2011 / Sikkerhedsoplysninger -- DSA-2210-1 tiff

Debians sikkerhedsbulletin

DSA-2210-1 tiff -- flere sårbarheder

Rapporteret den:

3. apr 2011

Berørte pakker:

tiff

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 619614.
I Mitres CVE-ordbog: CVE-2011-0191, CVE-2011-0192, CVE-2011-1167.

Yderligere oplysninger:

Flere sårbarheder blev opdaget i biblioteket til bearbejdning og konvertering af TIFF-filer:

• CVE-2011-0191

  Et bufferoverløb gjorde det muligt at udføre vilkårlig kode eller forårsage et lammelsesangreb (denial of service) via et fabrikeret TIFF-billede med JPEG-encoding. Problemet påvirker kun pakken i Debian 5.0 Lenny.

• CVE-2011-0192

  Et bufferoverløb gjorde det muligt at udføre vilkårlig kode eller forårsage et lammelsesangreb via en fabrikeret TIFF Internet Fax-billedfil, komprimeret med CCITT Group 4-encoding.

• CVE-2011-1167

  Et heapbaseret bufferoverløb i Thuder-dekoderne (alias ThunderScan) gjorde det muligt at udføre vilkårlig kode via en TIFF-fil, som havde en uventet BitsPerSample-værdi.

I den gamle stabile distribution (lenny), er disse problemer rettet i version 3.8.2-11.4.

I den stabile distribution (squeeze), er disse problemer rettet i version 3.9.4-5+squeeze1.

I distributionen testing er de første to problemer rettet i version 3.9.4-8, mens det sidste problem snart vil blive rettet.

I den ustabile distribution (sid), er disse problemer rettet i version 3.9.4-9.

Vi anbefaler at du opgraderer dine tiff-pakker.