現已提供適用於 Red Hat Enterprise Linux 6 的 libtiff 更新。

Red Hat 產品安全性團隊已將此更新評等為具有重要安全性影響。可從〈參照〉一節的 CVE 連結中取得每個弱點之常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。

libtiff 套件中包含可操控標記影像檔案格式 (TIFF) 檔案的函式程式庫。

安全性修正：

* 在 libtiff 中發現多個瑕疵。遠端攻擊者可惡意利用這些瑕疵，誘騙與 libtiff 連結的應用程式處理特製檔案，造成當機或記憶體損毀，且可能執行任意程式碼。
(CVE-2014-9655、CVE-2015-1547、CVE-2015-8784、CVE-2015-8683、CVE-2015-8665、CVE-2015-8781、CVE-2015-8782、CVE-2015-8783、CVE-2016-3990、CVE-2016-5320)

* 在多種 libtiff 工具 (bmp2tiff、pal2rgb、thumbnail、tiff2bw、tiff2pdf、tiffcrop、tiffdither、tiffsplit、tiff2rgba) 中發現多個瑕疵。遠端攻擊者可誘騙使用者處理特製的檔案，進而惡意利用這些瑕疵，造成當機或記憶體損毀，且可能以執行 libtiff 工具之使用者的權限，執行任意程式碼。
(CVE-2014-8127、CVE-2014-8129、CVE-2014-8130、CVE-2014-9330、CVE-2015-7554、CVE-2015-8668、CVE-2016-3632、CVE-2016-3945、CVE-2016-3991)

在 libtiff 中發現多個瑕疵。遠端攻擊者可惡意利用這些瑕疵，誘騙與 libtiff 連結的應用程式處理特製檔案，造成當機或記憶體損毀，且可能執行任意程式碼。
(CVE-2014-9655、CVE-2015-1547、CVE-2015-8784、CVE-2015-8683、CVE-2015-8665、CVE-2015-8781、CVE-2015-8782、CVE-2015-8783、CVE-2016-3990、CVE-2016-5320)

在多種 libtiff 工具 (bmp2tiff、pal2rgb、thumbnail、tiff2bw、tiff2pdf、tiffcrop、tiffdither、tiffsplit、tiff2rgba) 中發現多個瑕疵。遠端攻擊者可誘騙使用者處理特製的檔案，進而惡意利用這些瑕疵，造成當機或記憶體損毀，且可能以執行 libtiff 工具之使用者的權限，執行任意程式碼。
(CVE-2014-8127、CVE-2014-8129、CVE-2014-8130、CVE-2014-9330、CVE-2015-7554、CVE-2015-8668、CVE-2016-3632、CVE-2016-3945、CVE-2016-3991)

遠端主機受到 GLSA-201701-16 中所述的弱點影響 (libTIFF：多個弱點) 在 libTIFF 中發現多個弱點。如需詳細資料，請檢閱提及的 CVE 識別碼和錯誤報告。影響：遠端攻擊者可引誘使用者處理特製的影像檔案，並可能以處理程序的權限執行任意程式碼，或導致拒絕服務情形。因應措施：目前尚無已知的因應措施。

CVE-2016-5314 在 LibTIFF 4.0.6 及更舊版本中，tif_pixarlog.c 所用的 PixarLogDecode 函式發生緩衝區溢位，此弱點允許遠端攻擊者透過特製的 TIFF 影像而造成拒絕服務 (應用程式損毀)，也可能造成其他不明影響，以 rgb2ycbcr 覆寫 vgetparent 函式指標即為一例。注意：此弱點之前稱為 CVE-2016-5320。所有的 CVE 使用者應稱此弱點為 CVE-2016-5314，取代原有的 CVE-2016-5320。CVE-2015-8784 在 LibTIFF 中，tif_next.c 所用的 NeXTDecode 函式允許遠端攻擊者透過特製的 TIFF 影像，造成拒絕服務 (超出邊界寫入)，libtiff5.tif 即為一例。影響：攻擊者可使用特製的 TIFF 檔案，以影像最佳化處理程序的有限權限來執行任意程式碼。

安全性修正：

- 在 libtiff 中發現多個瑕疵。遠端攻擊者可惡意利用這些瑕疵，誘騙與 libtiff 連結的應用程式處理特製檔案，造成當機或記憶體損毀，且可能執行任意程式碼。(CVE-2014-9655、CVE-2015-1547、CVE-2015-8784、CVE-2015-8683、CVE-2015-8665、CVE-2015-8781、CVE-2015-8782、CVE-2015-8783、CVE-2016-3990、CVE-2016-5320)

- 在多種 libtiff 工具 (bmp2tiff、pal2rgb、thumbnail、tiff2bw、tiff2pdf、tiffcrop、tiffdither、tiffsplit、tiff2rgba) 中發現多個瑕疵。遠端攻擊者可誘騙使用者處理特製的檔案，進而惡意利用這些瑕疵，造成當機或記憶體損毀，且可能以執行 libtiff 工具之使用者的權限，執行任意程式碼。(CVE-2014-8127、CVE-2014-8129、CVE-2014-8130、CVE-2014-9330、CVE-2015-7554、CVE-2015-8668、CVE-2016-3632、CVE-2016-3945、CVE-2016-3991)

在 libtiff 中發現多個缺陷。遠端攻擊者可惡意利用這些缺陷，誘騙與 libtiff 連結的應用程式處理特製檔案，造成當機或記憶體損毀，且可能執行任意程式碼。
(CVE-2014-9655、CVE-2015-1547、CVE-2015-8784、CVE-2015-8683、CVE-2015-8665、CVE-2015-8781、CVE-2015-8782、CVE-2015-8783、CVE-2016-3990、CVE-2016-5320)

Mathias Svensson 報告：

損毀/非預期影像的 PixarLogDecode() 中存有潛在緩衝區寫入滿溢問題

此 tiff 更新可修正下列問題：

修正的安全性問題：

- CVE-2016-5314：修正 PixarLogDecode() 函式中的一個超出邊界寫入問題 (boo#984831)

- CVE-2016-5316：修正 tif_pixarlog.c 之 PixarLogCleanup() 函式中的一個超出邊界讀取問題 (boo#984837)

- CVE-2016-5317：修正 libtiff.so 之 PixarLogDecode() 函式中的一個超出邊界寫入問題 (boo#984842)

- CVE-2016-5320：修正 tif_pixarlog.c 之 PixarLogDecode() 函式中的一個超出邊界寫入問題 (boo#984808)

- CVE-2016-5875：修正使用 PixarLog compressionformat 時發生的一個堆積型緩衝區溢位 (boo#987351)

修正的錯誤：

- boo#964225：修正無效影像的寫入 (上游錯誤 #2522)

此 tiff 更新可修正下列問題：

- CVE-2015-8781、CVE-2015-8782、CVE-2015-8783：
無效影像導致的超出邊界寫入問題 (bsc#964225)

- CVE-2016-3186：gif2tiff 中的緩衝區溢位問題 (bnc#973340)。

- CVE-2016-5875：使用 PixarLog compressionformat 時發生的堆積型緩衝區溢位問題 (bsc#987351)

- CVE-2016-5316：tif_pixarlog.c 之 PixarLogCleanup() 函式中的超出邊界讀取問題 (bsc#984837)

- CVE-2016-5314：PixarLogDecode() 函式中的超出邊界寫入問題 (bsc#984831)

- CVE-2016-5317：libtiff.so 之 PixarLogDecode() 函式中的超出邊界寫入問題 (bsc#984842)

- CVE-2016-5320：tif_pixarlog.c 之 PixarLogDecode() 函式中的超出邊界寫入問題 (bsc#984808)

請注意，Tenable Network Security 已直接從 SUSE 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

在 tiff 程式庫中發現數個弱點，可能對使用它的應用程式造成拒絕服務。

針對 Debian 7「Wheezy」，這些問題已在 4.0.2-6+deb7u6 版本中修正。

建議您升級 tiff 套件。

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

現已提供適用於 Red Hat Enterprise Linux 7 的 libtiff 更新。

Red Hat 產品安全性團隊已將此更新評等為具有重要安全性影響。可從〈參照〉一節的 CVE 連結中取得每個弱點之常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。

libtiff 套件中包含可操控標記影像檔案格式 (TIFF) 檔案的函式程式庫。

安全性修正：

* 在 libtiff 中發現多個瑕疵。遠端攻擊者可惡意利用這些瑕疵，誘騙與 libtiff 連結的應用程式處理特製檔案，造成當機或記憶體損毀，且可能執行任意程式碼。
(CVE-2014-9655、CVE-2015-1547、CVE-2015-8784、CVE-2015-8683、CVE-2015-8665、CVE-2015-8781、CVE-2015-8782、CVE-2015-8783、CVE-2016-3990、CVE-2016-5320)

* 在多種 libtiff 工具 (bmp2tiff、pal2rgb、thumbnail、tiff2bw、tiff2pdf、tiffcrop、tiffdither、tiffsplit、tiff2rgba) 中發現多個瑕疵。遠端攻擊者可誘騙使用者處理特製的檔案，進而惡意利用這些瑕疵，造成當機或記憶體損毀，且可能以執行 libtiff 工具之使用者的權限，執行任意程式碼。
(CVE-2014-8127、CVE-2014-8129、CVE-2014-8130、CVE-2014-9330、CVE-2015-7554、CVE-2015-8668、CVE-2016-3632、CVE-2016-3945、CVE-2016-3991)

來自 Red Hat 安全性公告 2016:1546：

現已提供適用於 Red Hat Enterprise Linux 7 的 libtiff 更新。

Red Hat 產品安全性團隊已將此更新評等為具有重要安全性影響。可從〈參照〉一節的 CVE 連結中取得每個弱點之常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。

libtiff 套件中包含可操控標記影像檔案格式 (TIFF) 檔案的函式程式庫。

安全性修正：

* 在 libtiff 中發現多個瑕疵。遠端攻擊者可惡意利用這些瑕疵，誘騙與 libtiff 連結的應用程式處理特製檔案，造成當機或記憶體損毀，且可能執行任意程式碼。
(CVE-2014-9655、CVE-2015-1547、CVE-2015-8784、CVE-2015-8683、CVE-2015-8665、CVE-2015-8781、CVE-2015-8782、CVE-2015-8783、CVE-2016-3990、CVE-2016-5320)

* 在多種 libtiff 工具 (bmp2tiff、pal2rgb、thumbnail、tiff2bw、tiff2pdf、tiffcrop、tiffdither、tiffsplit、tiff2rgba) 中發現多個瑕疵。遠端攻擊者可誘騙使用者處理特製的檔案，進而惡意利用這些瑕疵，造成當機或記憶體損毀，且可能以執行 libtiff 工具之使用者的權限，執行任意程式碼。
(CVE-2014-8127、CVE-2014-8129、CVE-2014-8130、CVE-2014-9330、CVE-2015-7554、CVE-2015-8668、CVE-2016-3632、CVE-2016-3945、CVE-2016-3991)

來自 Red Hat 安全性公告 2016:1547：

現已提供適用於 Red Hat Enterprise Linux 6 的 libtiff 更新。

Red Hat 產品安全性團隊已將此更新評等為具有重要安全性影響。可從〈參照〉一節的 CVE 連結中取得每個弱點之常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。

libtiff 套件中包含可操控標記影像檔案格式 (TIFF) 檔案的函式程式庫。

安全性修正：

* 在 libtiff 中發現多個瑕疵。遠端攻擊者可惡意利用這些瑕疵，誘騙與 libtiff 連結的應用程式處理特製檔案，造成當機或記憶體損毀，且可能執行任意程式碼。
(CVE-2014-9655、CVE-2015-1547、CVE-2015-8784、CVE-2015-8683、CVE-2015-8665、CVE-2015-8781、CVE-2015-8782、CVE-2015-8783、CVE-2016-3990、CVE-2016-5320)

* 在多種 libtiff 工具 (bmp2tiff、pal2rgb、thumbnail、tiff2bw、tiff2pdf、tiffcrop、tiffdither、tiffsplit、tiff2rgba) 中發現多個瑕疵。遠端攻擊者可誘騙使用者處理特製的檔案，進而惡意利用這些瑕疵，造成當機或記憶體損毀，且可能以執行 libtiff 工具之使用者的權限，執行任意程式碼。
(CVE-2014-8127、CVE-2014-8129、CVE-2014-8130、CVE-2014-9330、CVE-2015-7554、CVE-2015-8668、CVE-2016-3632、CVE-2016-3945、CVE-2016-3991)

遠端 OracleVM 系統缺少可解決重要安全性更新的必要修補程式：

- 更新 (CVE-2014-8127) 的修補程式

- 相關項目：#1335099

- 修正 (CVE-2016-3990、CVE-2016-5320) 的修補程式

- 相關項目：#1335099

- 新增 CVE 的修補程式：

- CVE-2016-3632 CVE-2016-3945 (CVE-2016-3990)

- CVE-2016-3991 (CVE-2016-5320)

- 相關項目：#1335099

- 更新 (CVE-2014-8129) 的修補程式

- 相關項目：#1335099

- 合併之前針對以下 CVE 發佈的修正：

- CVE-2013-1960 CVE-2013-1961 (CVE-2013-4231)

- CVE-2013-4232 CVE-2013-4243 (CVE-2013-4244)

- 解決：#1335099

- 修補 (CVE-2014-8127) 中的錯字

- 相關項目：#1299919

- 修正 CVE-2014-8127 和 CVE-2015-8668 修補程式

- 相關項目：#1299919

- 修正預覽 CVE 的修補程式

- 相關項目：#1299919

- 此項目可解決數個 CVE

- CVE-2014-8127、CVE-2014-8129、(CVE-2014-8130)

- CVE-2014-9330、CVE-2014-9655、(CVE-2015-8781)

- CVE-2015-8784、CVE-2015-1547、(CVE-2015-8683)

- CVE-2015-8665、CVE-2015-7554、(CVE-2015-8668)

- 解決：#1299919

在支援標籤影像檔案格式 (TIFF) 的程式庫 tiff3 中發現數個安全性弱點。攻擊者可利用這些瑕疵，造成使用 libtiff4 或 libtiffxx0c2 程式庫的應用程式拒絕服務 (應用程式損毀)，或可能以執行該應用程式之使用者的權限執行任意程式碼。

針對 Debian 7「Wheezy」，這些問題已在 3.9.6-11+deb7u1 版本中修正。

我們建議您升級 tiff3 套件。

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

此 tiff 更新可修正下列問題：

- CVE-2015-8781、CVE-2015-8782、CVE-2015-8783：
無效影像導致的超出邊界寫入問題 (bsc#964225)

- CVE-2016-3186：gif2tiff 中的緩衝區溢位問題 (bnc#973340)。

- CVE-2016-5875：使用 PixarLog compressionformat 時發生的堆積型緩衝區溢位問題 (bsc#987351)

- CVE-2016-5316：tif_pixarlog.c 之 PixarLogCleanup() 函式中的超出邊界讀取問題 (bsc#984837)

- CVE-2016-5314：PixarLogDecode() 函式中的超出邊界寫入問題 (bsc#984831)

- CVE-2016-5317：libtiff.so 之 PixarLogDecode() 函式中的超出邊界寫入問題 (bsc#984842)

- CVE-2016-5320：tif_pixarlog.c 之 PixarLogDecode() 函式中的超出邊界寫入問題 (bsc#984808)

此更新是從 SUSE:SLE-12:Update 更新專案匯入。

ID	名稱	產品	系列	已發布	已更新	嚴重性
92682	CentOS 6 : libtiff (CESA-2016:1547)	Nessus	CentOS Local Security Checks	2016/8/3	2021/1/4	critical
93011	Amazon Linux AMI : libtiff (ALAS-2016-733)	Nessus	Amazon Linux Local Security Checks	2016/8/18	2019/7/10	critical
96373	GLSA-201701-16：libTIFF：多個弱點	Nessus	Gentoo Local Security Checks	2017/1/10	2021/1/11	critical
94648	F5 網路 BIG-IP：LibTIFF 弱點 (K89096577)	Nessus	F5 Networks Local Security Checks	2016/11/9	2019/1/4	high
92720	Scientific Linux 安全性更新：SL7.x x86_64 上的 libtiff	Nessus	Scientific Linux Local Security Checks	2016/8/4	2021/1/14	critical
93012	Amazon Linux AMI：compat-libtiff3 (ALAS-2016-734)	Nessus	Amazon Linux Local Security Checks	2016/8/18	2018/4/18	high
92339	FreeBSD：tiff -- 緩衝區溢位 (0ab66088-4aa5-11e6-a7bd-14dae9d210b8)	Nessus	FreeBSD Local Security Checks	2016/7/18	2021/1/4	high
92597	openSUSE 安全性更新：tiff (openSUSE-2016-911)	Nessus	SuSE Local Security Checks	2016/7/28	2021/1/19	high
93439	SUSE SLED12 / SLES12 安全性更新：tiff (SUSE-SU-2016:2271-1)	Nessus	SuSE Local Security Checks	2016/9/12	2021/1/6	high
93236	Debian DLA-606-1：tiff 安全性更新	Nessus	Debian Local Security Checks	2016/8/31	2021/1/11	high
92681	CentOS 7 : libtiff (CESA-2016:1546)	Nessus	CentOS Local Security Checks	2016/8/3	2021/1/4	critical
92689	Oracle Linux 7 : libtiff (ELSA-2016-1546)	Nessus	Oracle Linux Local Security Checks	2016/8/3	2021/1/14	critical
92690	Oracle Linux 6 : libtiff (ELSA-2016-1547)	Nessus	Oracle Linux Local Security Checks	2016/8/3	2021/1/14	critical
92691	OracleVM 3.3 / 3.4：libtiff (OVMSA-2016-0093)	Nessus	OracleVM Local Security Checks	2016/8/3	2021/1/4	critical
93322	Debian DLA-610-1：tiff3 安全性更新	Nessus	Debian Local Security Checks	2016/9/6	2021/1/11	critical
93585	openSUSE 安全性更新：tiff (openSUSE-2016-1089)	Nessus	SuSE Local Security Checks	2016/9/19	2021/1/19	high
92696	RHEL 7 : libtiff (RHSA-2016:1546)	Nessus	Red Hat Local Security Checks	2016/8/3	2019/10/24	critical
92697	RHEL 6 : libtiff (RHSA-2016:1547)	Nessus	Red Hat Local Security Checks	2016/8/3	2019/10/24	critical
92698	Scientific Linux 安全性更新：SL6.x i386/x86_64 上的 libtiff	Nessus	Scientific Linux Local Security Checks	2016/8/3	2021/1/14	critical

偵測

搜尋 Plugin

critical

critical

critical

high

critical

high

high

high

high

high

critical

critical

critical

critical

critical

high

critical

critical

critical