Säkerhetsinformation / 2011 / Säkerhetsinformation -- DSA-2256-1 tiff

Säkerhetsbulletin från Debian

DSA-2256-1 tiff -- buffertspill

Rapporterat den:

2011-06-09

Berörda paket:

tiff

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 624287.
I Mitres CVE-förteckning: CVE-2009-5022.

Ytterligare information:

Tavis Ormandy upptäckte att biblioteket för filformatet Tag Image File Format (TIFF) är sårbart för ett buffertspill som triggas av en skapad OJPEG-fil som tillåter en krasch och potentiellt körning av godtycklig kod.

Den gamla stabila utgåvan (Lenny) påverkas inte av detta problem.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 3.9.4-5+squeeze2.

För uttestningsutgåvan (Wheezy) och den instabila utgåvan (Sid), har detta problem rättats i version 3.9.5-1.

Vi rekommenderar att ni uppgraderar era tiff-paket.