[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[ORCA-ANNOUNCE:02330] セキュリティ情報◆[OSA 2011-014] tiff



ORCAサポートセンタです。いつもお世話になっています。

本日、下記、セキュリティアップデートパッケージを提供しました。

---------------------------------------------------------------------------
ORCA Project Security Advisory OSA 2011-014    security _at_ orca.med.or.jp
http://www.orca.med.or.jp/orca/security/                         2011/07/07
---------------------------------------------------------------------------

Package         : tiff
Vulnerability   : 複数の脆弱性
Problem type    : ローカル(リモート)
Debian-specific : いいえ
Distribution    : Debian GNU/Linux 4.0(etch)
CVE ID          : CVE-2011-0191 CVE-2011-0192 CVE-2011-1167

DSA-2210-1を参照した最近の Tiff の修正にはバグがあり、tiff ファイルの
エンコーディングで問題が発生していました。今回の修正では、この問題(bug
630042) を対処します。

念のため、以下の欠陥を修正したもとの DSA を再掲します。
CVE-2011-0191 CVE-2011-0192 CVE-2011-1167

CVE-2011-0191

細工した JPEG エンコーディングの TIFF 画像によりバッファオーバフロ
ーが発生し、任意のコードの実行やサービス拒否攻撃が可能です。

CVE-2011-0192

細工した CCITT Group 4 エンコーディングを用いて圧縮された Fax 画像
ファイルによりバッファオーバフローが発生し、任意のコードの実行やサ
ービス拒否攻撃が可能です。

CVE-2011-1167

ヒープベースのバッファオーバフローが thunder (ThunderScan) デコーダ
にあり、想定外の BitsPerSample 値を持つ TIFF ファイルにより任意のコ
ードの実行が可能です。

ディストリビューション(etch)では、この問題はバージョン  3.8.2-7+orca.etch7
で修正されています。

直ぐにパッケージをアップグレードすることを勧めます。

アップグレード手順
------------------
ORCAプロジェクトで提供するセキュリティアップデートパッケージを入手するには、
/etc/apt/sources.listファイルに以下の行を追加してください。

   deb http://ftp.orca.med.or.jp/pub/etch-updates etch main contrib non-free

   apt-get パッケージマネージャを用いている場合には、上記の行を sources.list に加えて、

   apt-get update
           を実行して内部データベースを更新し、
   apt-get upgrade
     によって修正されたパッケージをインストールしてください。

Debian GNU/Linux 4.0 alias etch
---------------------------------
 ソースアーカイブ:

    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/t/tiff/tiff_3.8.2-7+orca.etch7.dsc
       Size/MD5 checksum: 535 65d71e694334739c7c4921dc9147eb21
    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/t/tiff/tiff_3.8.2.orig.tar.gz
       Size/MD5 checksum: 1333780 e6ec4ab957ef49d5aabc38b7a376910b
    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/t/tiff/tiff_3.8.2-7+orca.etch7.diff.gz
       Size/MD5 checksum: 23861 81b7d50a360cc54cba4d806ca442d8b1

 Intel IA-32 アーキテクチャ:

    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/t/tiff/libtiff4_3.8.2-7+orca.etch7_i386.deb
       Size/MD5 checksum: 501918 973d6e944902bfe8f4238c1e3665e821
    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/t/tiff/libtiffxx0c2_3.8.2-7+orca.etch7_i386.deb
       Size/MD5 checksum: 5018 e2d21794bde037ae493d436dfdd1fbec
    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/t/tiff/libtiff4-dev_3.8.2-7+orca.etch7_i386.deb
       Size/MD5 checksum: 233970 5c8bb8afb7457e94aae03bd1806a9439
    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/t/tiff/libtiff-tools_3.8.2-7+orca.etch7_i386.deb
       Size/MD5 checksum: 175538 ba8449465dec3a1e63bb0dd538076ef0
    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/t/tiff/libtiff-opengl_3.8.2-7+orca.etch7_i386.deb
       Size/MD5 checksum: 9866 acafa2eda236d08b20c42727e89cb244


 これらのファイルは次のアップデートがリリースされると削除されます。

--
ORCA Support Center/JMARI/JMA
http://www.orca.med.or.jp/support/qa/support_form.rhtml
T: 03-5319-4605 D-FAX: 020-4623-1358