Skip to content

サポート   >  セキュリティー&アップデート/ERRATA
 

セキュリティ問題を修正したlibtiffのアップデートパッケージ

アドバイスID: RHSA-2005:019-11
最終更新日: 2005-01-13
影響のあるプロダクト: Red Hat Desktop (v. 3)
Red Hat Enterprise Linux AS (v. 2.1)
Red Hat Enterprise Linux AS (v. 3)
Red Hat Enterprise Linux ES (v. 2.1)
Red Hat Enterprise Linux ES (v. 3)
Red Hat Enterprise Linux WS (v. 2.1)
Red Hat Enterprise Linux WS (v. 3)
Red Hat Linux Advanced Workstation 2.1 for the Itanium Processor
CVEs (cve.mitre.org): CAN-2004-1183
CAN-2004-1308

Security Advisory   セキュリティ・アドバイス

概要:

libtiffパッケージには、TIFF(Tagged Image File Format)画像フォーマットファイルを操作するための関数ライブラリが含まれています。

libtiffに影響する整数オーバーフローのバグをiDEFENSEが報告しました。攻撃者が悪意のあるTIFFファイルをユーザに開けさせることにより、libtiffにリンクされたアプリケーションをクラッシュさせたり、任意のコードを実行させたりすることが可能です。「Common Vulnerabilities and Exposures」プロジェクト(cve.mitre.org)により、この問題はCAN-2004-1308と命名されています。

tiffdumpユーティリティの別の整数オーバーフローをDmitry V. Levin氏が報告しました。攻撃者がユーザにtiffdumpで処理された悪意のあるTIFFファイルを開けさせることにより、任意のコードを実行することが可能です。「Common Vulnerabilities and Exposures」プロジェクト(cve.mitre.org)により、この問題はCAN-2004-1183と命名されています。

すべてのユーザは、これらの問題を解決するバックポート修正を含んだ上記アップデートパッケージにアップグレードしてください。

アップデート・パッケージ:

Red Hat Desktop (v. 3)
SRPMS:
libtiff-3.5.7-22.el3.src.rpm     230133fd30cfec91969c831561481cf9
 
IA-32:
libtiff-3.5.7-22.el3.i386.rpm     92b6f791091a438b1b798907dcdac625
libtiff-devel-3.5.7-22.el3.i386.rpm     85e8a16f6b0a069ee6136eb05fd08271
 
x86_64:
libtiff-3.5.7-22.el3.i386.rpm     92b6f791091a438b1b798907dcdac625
libtiff-3.5.7-22.el3.x86_64.rpm     a475413f7d6f4dee48624fbf0ab6cb53
libtiff-devel-3.5.7-22.el3.x86_64.rpm     343b7da68281c2ec25351005bd1ab081
 
Red Hat Enterprise Linux AS (v. 2.1)
SRPMS:
libtiff-3.5.5-19.src.rpm     9faf1a81c8cb9f7f6e6b712840b10951
 
IA-32:
libtiff-3.5.5-19.i386.rpm     ebdab894fe8b36793f3d277ecac3e870
libtiff-devel-3.5.5-19.i386.rpm     74c12e5af9b426a1c50bb906a50db452
 
IA-64:
libtiff-3.5.5-19.ia64.rpm     c6c4648dfb26f03792898db6e75025e2
libtiff-devel-3.5.5-19.ia64.rpm     0e2f3a5d95535589bdc71c96f6740b40
 
Red Hat Enterprise Linux AS (v. 3)
SRPMS:
libtiff-3.5.7-22.el3.src.rpm     230133fd30cfec91969c831561481cf9
 
IA-32:
libtiff-3.5.7-22.el3.i386.rpm     92b6f791091a438b1b798907dcdac625
libtiff-devel-3.5.7-22.el3.i386.rpm     85e8a16f6b0a069ee6136eb05fd08271
 
IA-64:
libtiff-3.5.7-22.el3.i386.rpm     92b6f791091a438b1b798907dcdac625
libtiff-3.5.7-22.el3.ia64.rpm     19f8fab02cba5e20525f98eedf00b81d
libtiff-devel-3.5.7-22.el3.ia64.rpm     a8fe08e3128aeb918b9fd60f1750616a
 
PPC:
libtiff-3.5.7-22.el3.ppc.rpm     b8d6bab0db333287b4737527f5f276b5
libtiff-3.5.7-22.el3.ppc64.rpm     feee358ad4505b384359daefe9b14a5d
libtiff-devel-3.5.7-22.el3.ppc.rpm     e9fd3b43c0b3d2adc9da465c09260e07
 
s390:
libtiff-3.5.7-22.el3.s390.rpm     c532e0a2c9dbcd499499431aeccef2f5
libtiff-devel-3.5.7-22.el3.s390.rpm     87fc4f5c36a512ee3015e27159c0ca21
 
s390x:
libtiff-3.5.7-22.el3.s390.rpm     c532e0a2c9dbcd499499431aeccef2f5
libtiff-3.5.7-22.el3.s390x.rpm     092ccc24332cc5664aee3425879c51e1
libtiff-devel-3.5.7-22.el3.s390x.rpm     b5a4e320b091a5a2ccff69d50c8a57e3
 
x86_64:
libtiff-3.5.7-22.el3.i386.rpm     92b6f791091a438b1b798907dcdac625
libtiff-3.5.7-22.el3.x86_64.rpm     a475413f7d6f4dee48624fbf0ab6cb53
libtiff-devel-3.5.7-22.el3.x86_64.rpm     343b7da68281c2ec25351005bd1ab081
 
Red Hat Enterprise Linux ES (v. 2.1)
SRPMS:
libtiff-3.5.5-19.src.rpm     9faf1a81c8cb9f7f6e6b712840b10951
 
IA-32:
libtiff-3.5.5-19.i386.rpm     ebdab894fe8b36793f3d277ecac3e870
libtiff-devel-3.5.5-19.i386.rpm     74c12e5af9b426a1c50bb906a50db452
 
Red Hat Enterprise Linux ES (v. 3)
SRPMS:
libtiff-3.5.7-22.el3.src.rpm     230133fd30cfec91969c831561481cf9
 
IA-32:
libtiff-3.5.7-22.el3.i386.rpm     92b6f791091a438b1b798907dcdac625
libtiff-devel-3.5.7-22.el3.i386.rpm     85e8a16f6b0a069ee6136eb05fd08271
 
IA-64:
libtiff-3.5.7-22.el3.i386.rpm     92b6f791091a438b1b798907dcdac625
libtiff-3.5.7-22.el3.ia64.rpm     19f8fab02cba5e20525f98eedf00b81d
libtiff-devel-3.5.7-22.el3.ia64.rpm     a8fe08e3128aeb918b9fd60f1750616a
 
x86_64:
libtiff-3.5.7-22.el3.i386.rpm     92b6f791091a438b1b798907dcdac625
libtiff-3.5.7-22.el3.x86_64.rpm     a475413f7d6f4dee48624fbf0ab6cb53
libtiff-devel-3.5.7-22.el3.x86_64.rpm     343b7da68281c2ec25351005bd1ab081
 
Red Hat Enterprise Linux WS (v. 2.1)
SRPMS:
libtiff-3.5.5-19.src.rpm     9faf1a81c8cb9f7f6e6b712840b10951
 
IA-32:
libtiff-3.5.5-19.i386.rpm     ebdab894fe8b36793f3d277ecac3e870
libtiff-devel-3.5.5-19.i386.rpm     74c12e5af9b426a1c50bb906a50db452
 
Red Hat Enterprise Linux WS (v. 3)
SRPMS:
libtiff-3.5.7-22.el3.src.rpm     230133fd30cfec91969c831561481cf9
 
IA-32:
libtiff-3.5.7-22.el3.i386.rpm     92b6f791091a438b1b798907dcdac625
libtiff-devel-3.5.7-22.el3.i386.rpm     85e8a16f6b0a069ee6136eb05fd08271
 
IA-64:
libtiff-3.5.7-22.el3.i386.rpm     92b6f791091a438b1b798907dcdac625
libtiff-3.5.7-22.el3.ia64.rpm     19f8fab02cba5e20525f98eedf00b81d
libtiff-devel-3.5.7-22.el3.ia64.rpm     a8fe08e3128aeb918b9fd60f1750616a
 
x86_64:
libtiff-3.5.7-22.el3.i386.rpm     92b6f791091a438b1b798907dcdac625
libtiff-3.5.7-22.el3.x86_64.rpm     a475413f7d6f4dee48624fbf0ab6cb53
libtiff-devel-3.5.7-22.el3.x86_64.rpm     343b7da68281c2ec25351005bd1ab081
 
Red Hat Linux Advanced Workstation 2.1 for the Itanium Processor
SRPMS:
libtiff-3.5.5-19.src.rpm     9faf1a81c8cb9f7f6e6b712840b10951
 
IA-64:
libtiff-3.5.5-19.ia64.rpm     c6c4648dfb26f03792898db6e75025e2
libtiff-devel-3.5.5-19.ia64.rpm     0e2f3a5d95535589bdc71c96f6740b40
 
(The unlinked packages above are only available from the Red Hat Network)

解決法:

このアップデートを適用する前に、システムに関連するリリース済の errata が適用済であることをご確認ください。
それぞれのアーキテクチャで全てのRPMをアップデートするには、以下のコマンドを実行してください:

rpm -Fvh [filename]

[filename] は、アップデートしたいRPMのファイル名です。現在インストールされているパッケージのみ、アップグレードされます。現在いるディレクトリにインストールしたいRPM *しか* 無い場合には、 ワイルドカード (*.rpm) も使うことができます。
このアップデートは、Red Hat Network 経由でも行なえます。アップデートを適用する非常に簡便な方法です。Red hat Network をご利用になるには、以下のコマンドで、アップデートエージェントを起動してください。

up2date

このコマンドで、システムに適切なRPMをアップグレードする対話形式のプロセスを起動します。

バグジラ:  (詳細は、こちらbugzilla[英語]を御覧ください。)

143505 - CAN-2004-1308 LibTIFF Directory Entry Count Integer Overflow Vulnerability
143577 - libtiff integer overflow.

参照:

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1183
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1308


ここに在るパッケージはセキュリティの為、 Red Hat, Inc. によって、 GPG 認証されています。キーは以下から利用可能になっています:
http://www.redhat.com/about/contact.html

各パッケージを確認するには次のコマンドをご利用ください: rpm --checksig filename
各パッケージが壊れていないか、もしくは改ざんされていないかを確認するには、以下のコマンドで MD5 チェックサムをお調べください: rpm --checksig --nogpg filename
注意: GnuPG キーをチェックするためには、RPM 3.0 以上が必要です。