检测

MagicLinux 4libtiff-3.9.4-21.AXS4 (AXSA:2017-1285:01)

critical Nessus 插件 ID 289985

语言:

简介

远程iraclelinux 主机缺少一个或多个安全更新。

描述

远程iraclelinux 4 主机上存在安装的程序包该程序包受到 AXSA:2017-1285:01 公告中提及的多个漏洞的影响。

 libtiff 程序包包含用于操纵 TIFF标记图像文件格式图像格式文件的函数库。TIFF 是一种广泛使用的位图图像文件格式。TIFF 文件的扩展名通常为 .tif,并且通常很大。
 如果需要操作 TIFF 格式的图像文件应安装 libtiff 程序包。
 此版本修复的安全问题
 CVE-2015-88704.0.4 之前版本的 LibTIFF 中 tools/bmp2tiff.c 存在整数溢出允许远程攻击者通过在BMP 文件中的 RLE4 或 RLE8 数据。
 CVE-2016-5652 LibTIFF 的 TIFF2PDF 工具在处理 TIFF 图像时存在一个可利用的基于堆的缓冲区溢出。特制的 TIFF 文档可导致基于堆的缓冲区溢出从而导致远程代码执行。可通过保存并以其他方式提供的 TIFF 文件触发漏洞。
 CVE-2016-9533 libtiff 4.0.6 中的 tif_pixarlog.c 在堆分配的缓冲区中有越界写入漏洞。已作为 MSVR 35094 报告又称 PixarLog horizontalDifference 堆缓冲区溢出。
 CVE-2016-9534 libtiff 4.0.6 中的 tif_write.c 在 TIFFFlushData1() 的错误代码路径中存在一个问题,未重置 tif_rawcc 和 tif_rawcp 成员。
 已作为 MSVR 35095 报告又称 TIFFFlushData1 堆缓冲区溢出。
 CVE-2016-9535 libtiff 4.0.6 中的 tif_predict.h 和 tif_predict.c 存在断言,在使用子采样处理 YCbCr 等不寻常的切片大小时,可能会导致调试模式下的断言失败,或者发布模式下的缓冲区溢出。已作为 MSVR 35105 报告,也称为Predictor 堆缓冲区溢出。
 CVE-2016-9536 libtiff 中的 tools/tiff2pdf.c 4.0.6 在 t2p_process_jpeg_strip() 中堆分配的缓冲区中存在越界写入漏洞。
 已作为 MSVR 35098 报告又称 t2p_process_jpeg_strip 堆缓冲区溢出。
 CVE-2016-9537 libtiff 4.0.6 中的 tools/tiffcrop.c 在缓冲区中有越界写入漏洞。已作为 MSVR 35093、MSVR 35096 和 MSVR 35097 报告。
 CVE-2016-9540 libtiff 4.0.6 中的 tools/tiffcp.c 在相对图像宽度具有奇数切片宽度的切片图像上有越界写入。已作为 MSVR 35103 报告,又称 cpStripToTile 堆缓冲区溢出。

Tenable 已直接从MiracleLinux 安全公告中提取上述描述块。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的 libtiff 和/或 libtiff-devel 程序包。

另见

https://tsn.miraclelinux.com/en/node/7717

插件详情

严重性: Critical

ID: 289985

文件名: miracle_linux_AXSA-2017-1285.nasl

版本: 1.1

类型: local

发布时间: 2026/1/16

最近更新时间: 2026/1/16

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

Vendor

Vendor Severity: Moderate

CVSS v2

风险因素: High

基本分数: 7.5

时间分数: 5.9

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 分数来源: CVE-2016-9540

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 8.8

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:miracle:linux:libtiff-devel, cpe:/o:miracle:linux:4, p-cpe:/a:miracle:linux:libtiff

必需的 KB 项: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu

可利用: true

易利用性: Exploits are available

补丁发布日期: 2017/2/6

漏洞发布日期: 2015/1/28

参考资料信息

CVE: CVE-2015-8870, CVE-2016-5652, CVE-2016-9533, CVE-2016-9534, CVE-2016-9535, CVE-2016-9536, CVE-2016-9537, CVE-2016-9540