JVNDB-2012-003578

LibTIFF の tiff2pdf におけるサービス運用妨害 (クラッシュ) の脆弱性

LibTIFF の tiff2pdf (tools/tiff2pdf.c) 内の t2p_read_tiff_init 関数は、特定のエラーが発生する状況において、T2P コンテキストの構造体ポインタを適切に初期化しないため、サービス運用妨害 (クラッシュ) 状態となる、および任意のコードを実行される脆弱性が存在します。

LibTIFF

• LibTIFF 4.0.2 およびそれ以前

攻撃者により、ヒープベースのバッファオーバーフローを誘発する巧妙に細工された TIFF 画像を介して、サービス運用妨害 (クラッシュ) 状態にされる、および任意のコードを実行される可能性があります。

ベンダ情報および参考情報を参照して適切な対策を実施してください。

Canonical

• Ubuntu Security Notice : USN-1511-1

Debian

• Debian Security Advisory : DSA-2552

Gentoo Linux

• Gentoo Linux Security Advisory : GLSA 201209-02

LibTIFF

• LibTIFF : Top Page

Mandriva, Inc.

• Security Advisories : MDVSA-2012:127

openSUSE project

• opensuse-updates : openSUSE-SU-2012:0955

Xerox

• Xerox Security Bulletin : XRX13-003

オラクル

• SECURITY BLOG : CVE-2012-3401 Denial of Service vulnerability in libtiff

レッドハット

• Red Hat Bugzilla : Bug 837577
• Red Hat Security Advisory : RHSA-2012:1590

1. バッファエラー(CWE-119) [NVD評価]

1. CVE-2012-3401

1. National Vulnerability Database (NVD) : CVE-2012-3401

• [2012年08月15日]
    掲載
  [2012年09月14日]
    ベンダ情報：openSUSE (openSUSE-SU-2012:0955) を追加
  [2012年10月22日]
    ベンダ情報：Debian (DSA-2552) を追加
  [2012年10月23日]
    ベンダ情報：オラクル (CVE-2012-3401 Denial of Service vulnerability in libtiff) を追加
  [2013年06月11日]
    ベンダ情報：Xerox (XRX13-003) を追加
    ベンダ情報：Gentoo Linux (GLSA 201209-02) を追加
    ベンダ情報：Mandriva, Inc. (MDVSA-2012:127) を追加
    ベンダ情報：レッドハット (RHSA-2012:1590) を追加
    ベンダ情報：レッドハット (Bug 837577) を追加