Libtiff に複数の脆弱性 ( CVE-2016-10092 , CVE-2016-10093 , CVE-2016-10094 , CVE-2016-10095 )
明けましておめでとうございます。SIOS OSSエバンジェリスト/セキュリティ担当の面です。本年も宜しくお願い致します。
1月1日にlibtiffに複数の脆弱性( CVE-2016-10092 , CVE-2016-10093 , CVE-2016-10094 , CVE-2016-10095 )が公開されています。今回は、この脆弱性について各ディストリビューションの対応状況を簡単にまとめてみます。
一時情報源
Bug 2620 (CVE-2016-10092)
Bug 2610 (CVE-2016-10093)
Bug 2640 (CVE-2016-10094)
Bug 2640 (CVE-2016-10094)
Bug 2625 (CVE-2016-10094)
Priority
Critical
脆弱性概要(詳細はリンク先のサイトをご確認ください)
- Bug 2620 (CVE-2016-10092)
_TIFFFax3fillruns (tif_fax3.c)のheapベースBuffer OverFlow
- Bug 2610 (CVE-2016-10093)
cpStripToTile (tiffcp.c)のBuffer OverFlow
- Bug 2640 (CVE-2016-10094)
_TIFFmemcpy (tif_unix.c)のheapベースBuffer OverFlow
- Bug 2625 (CVE-2016-10095)
_TIFFVGetFieldのstackベースBuffer OverFlow
主なディストリビューションの対応方法
詳細は、各ディストリビューションの提供元にご確認ください
Debian
https://security-tracker.debian.org/tracker/CVE-2016-10092
https://security-tracker.debian.org/tracker/CVE-2016-10093
Red Hat Enterprise Linux/CentOS
https://access.redhat.com/security/cve/cve-2016-10092
https://access.redhat.com/security/cve/cve-2016-10093
Oracle Linux
SUSE/OpenSUSE
https://www.suse.com/security/cve/CVE-2016-10092
https://www.suse.com/security/cve/CVE-2016-10093
ubuntu
https://people.canonical.com/~ubuntu-security/cve/2016/CVE-2016-10092.html
https://people.canonical.com/~ubuntu-security/cve/2016/CVE-2016-10093.html
https://people.canonical.com/~ubuntu-security/cve/2016/CVE-2016-10094.html
https://people.canonical.com/~ubuntu-security/cve/2016/CVE-2016-10095.html
対処方法
各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat Satelliteを使うと管理が便利でしょう。
Red Hat Satelliteを用いた一般的なErattaの適用は、『Red Hat Satellite 6でerrataを適用してみる』を
参考にして下さい。
また、アプリケーションの再起動が発生しますので、pacemakerなどOSSのクラスタ製品やLifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。