AXSA:2021-1093:01

リリース日: 
2021/01/06 Wednesday - 06:58
題名: 
libexif-0.6.22-4.el8
影響のあるチャネル: 
Asianux Server 8 for x86_64
Severity: 
Moderate
Description: 

以下項目について対処しました。

[Security Fix]
- libexif には、整数オーバーフローが原因で範囲外の書き込みが発生する可能性が
あるため、追加の実行権限を必要とせずに、メディアコンテンツプロバイダーの権限を
リモートから昇格させることを可能とする脆弱性が存在します。(CVE-2019-9278)

- libexif の exif-data.c の exif_data_save_data_entry() には、境界チェックが
欠落しているため、範囲外読み取りが可能となり、これにより、追加の実行権限を
必要とせずに、ローカルの情報の開示を可能とする脆弱性が存在します。
(CVE-2020-0093)

- libexif の exif-data.c 内の exif_data_load_data_thumnail() には整数オーバーフローを
原因とするサービス拒否の問題があり、追加の実行権限を必要とせずに、リモートからの
サービス拒否を可能とする脆弱性が存在します。(CVE-2020-0181)

- libexif の exif-entry.c の exif_entry_get_value() には、境界チェックが欠落しているため、
範囲外読み取りが可能となり、これにより、追加の実行権限を必要とせずに、
ローカルの情報の開示を可能とする脆弱性が存在します。(CVE-2020-0182)

- libexif の exif-data.c内の exif_data_load_data_content() には整数オーバーフローが原因で
UBSAN(UndefinedBehaviorSanitizer) がabort してしまう問題があり、追加の実行権限を
必要とせずに、リモートからのサービス拒否を可能とする脆弱性が存在します。
(CVE-2020-0198)

- libexif の exif-entry.c の exif_entry_get_value() には、ゼロ除算の脆弱性が存在します。
(CVE-2020-12767)

- libexif の EXIF Makernote の処理には、初期化されていないメモリを使用する
おそれがあるため、クラッシュや解放後利用 (use-after-free) を可能とする
脆弱性が存在します。 (CVE-2020-13113)

- libexif の Canon EXIF MakerNote データの処理には、処理するサイズに制限がないため、
EXIF データをデコードするために大量の計算時間の消費を可能とする脆弱性が存在します。
(CVE-2020-13114)

解決策: 

パッケージをアップデートしてください。

追加情報: 

N/A

ダウンロード: 

SRPMS
  1. libexif-0.6.22-4.el8.src.rpm
    MD5: ca2205d654277a8700fa0c97444d45b9
    SHA-256: e4ae2817e40e4115eb6472698990f373ac844c0f36b9f5d4ddc4f3ee8fe1dab8
    Size: 1.07 MB

Asianux Server 8 for x86_64
  1. libexif-0.6.22-4.el8.x86_64.rpm
    MD5: 566f98d667a2a814ee185e32be4d6894
    SHA-256: 36e4edb29ca0275d0617fbde8f696c9b312e3b6a7f293ca7b1fd98d58f440c05
    Size: 430.24 kB
  2. libexif-0.6.22-4.el8.i686.rpm
    MD5: 6f0cfc64b00f0763308ecae4de134ebc
    SHA-256: 72ee2fc57870116bde2e0f42c688c0353122fc6fa42b2ab1725e040f930ffd45
    Size: 429.20 kB
Copyright© 2007-2015 Asianux. All rights reserved.