JVNDB-2007-000453

Libexif の EXIF イメージ処理における整数オーバーフローの脆弱性

Libexif は多数の EXIF コンポーネントのある画像ファイルを処理する際に libexif/exif-data.c の exif_data_load_data_entry() 関数において、整数オーバーフローが発生する脆弱性が存在します。

libexif

• libexif -0.6.16 未満のバージョン

オラクル

• Oracle Solaris 10 

レッドハット

• Red Hat Enterprise Linux 5 (server) 
• Red Hat Enterprise Linux 4 (as) 
• Red Hat Enterprise Linux 4 (es) 
• Red Hat Enterprise Linux 4 (ws) 
• Red Hat Enterprise Linux Desktop 4.0 
• Red Hat Enterprise Linux Desktop 5.0 (client) 
• RHEL Desktop Workstation 5 (client) 

第三者の作成した不正な EXIF ファイルを参照することで、Libexif を使用しているアプリケーションがクラッシュする、または任意のコードを実行される可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Canonical

• Ubuntu Security Notice : USN-478-1

Debian

• Debian セキュリティ勧告 : DSA-1310

Gentoo Linux

• Gentoo Linux Security Advisory : GLSA 200706-09 / libexif

libexif

• The libexif C EXIF library : libexif-0.6.16 security release

Mandriva, Inc.

• Security Advisories : MDKSA-2007:128

rPath, Inc

• rPath Security Advisory : 2007-0131

SUSE

• SUSE Security Announcement : SUSE-SA:2007:039
• SUSE Security Summary Report : SUSE-SR:2007:014

オラクル

• SECURITY BLOG : multiple_vulnerabilities_in_libexif

レッドハット

• Red Hat Security Advisory : RHSA-2007:0501

1. その他(CWE-Other) [NVD評価]

1. CVE-2006-4168

1. National Vulnerability Database (NVD) : CVE-2006-4168
2. Secunia Advisory : SA25642
3. SecurityFocus : 24461
4. FrSIRT Advisories : FrSIRT/ADV-2007-2165

• [2007年06月25日]
    掲載
  [2012年01月30日]
    影響を受けるシステム：オラクル (multiple_vulnerabilities_in_libexif) の情報を追加
    ベンダ情報：オラクル (multiple_vulnerabilities_in_libexif) を追加
    ベンダ情報：Gentoo Linux (GLSA 200706-09 / libexif) を追加
    ベンダ情報：Debian (DSA-1310) を追加
    ベンダ情報：Mandriva (MDKSA-2007:128) を追加
    ベンダ情報：SUSE Linux (SUSE-SR:2007:014) を追加
    ベンダ情報：SUSE Linux (SUSE-SA:2007:039) を追加
    ベンダ情報：rPath (2007-0131) を追加
    ベンダ情報：Ubuntu (USN-478-1) を追加