Vendor Status Note JVNCIAC-O-216

gtk2 と gdk-pixbuf に複数の脆弱性

概要

gtk2 には、BMP、XPM および ICO 形式画像の処理にそれぞれ異なる脆弱性があります。

想定される影響

遠隔から第三者が画像ファイルを経由して、gtk2 を使用したアプリケーションを実行しているユーザの権限を取得したり、そのアプリケーションを異常終了させたりする可能性があります。

ベンダ情報

ベンダリンク更新日
DebianDebian セキュリティ警告 DSA-549
gtk+ -- 複数の欠陥
Debian セキュリティ警告 DSA-546
gdk-pixbuf -- 複数の欠陥
ミラクル・リナックスgtk2 セキュリティ gtk2 に複数の脆弱性
gdk-pixbuf セキュリティ gdk-pixbuf に複数の脆弱性
RedHatRedHat Advisory RHSA-2004:466
Updated gtk2 packages fix security flaws and bugs
RedHat Advisory RHSA-2004:447
Updated gdk-pixbuf packages fix security flaws
参考情報

  1. CIAC Bulletin O-216
    "gtk2" Package Vulnerability
  2. CIAC Bulletin O-217
    "gdk-pixbuf" Package vulnerability
  3. ISS X-Force Database: gtk-bmp-dos(17383)
    GTK+ and GdkPixbuf BMP denial of service
  4. ISS X-Force Database: libxpm-multiple-stack-bo(17414)
    libXpm xpmParseColors, ParseAndPutPixels, and ParsePixels functions stack-based buffer overflows
  5. ISS X-Force Database: gtk-xpm-xpmextractcolor-bo(17385)
    GTK+ and GdkPixbuf XPM loader xpm_extract_color buffer overflow
  6. ISS X-Force Database: libxpm-xpmfile-integer-overflow(17416)
    libXpm XPM file integer overflow
  7. ISS X-Force Database: gtk-xpm-pixbufcreatefromxpm-bo(17386)
    GTK+ and GdkPixbuf XPM loader pixbuf_create_from_xpm buffer overflow
  8. ISS X-Force Database: gtk-ico-integer-bo(17387)
    GTK+ and GdkPixbuf ICO image decoder integer overflow

JPCERT 緊急報告
JPCERT REPORTJPCERT-WR-2004-3701 ( 2004-09-22 )
CIAC BulletinO-216 "gtk2" Package Vulnerability ( 2004-09-15 )
CVE2004-0753 [CVE+] XF17383
2004-0782 [CVE+] XF17414,XF17385
2004-0783 [CVE+] XF17416,XF17386
2004-0788 [CVE+] XF17387
PGP署名JVNCIAC-O-216.html.sig

登録日1:38 2004/09/25
更新日1:38 2004/09/25

Copyright(C) 2002-2009 Keio Univ. All rights reserved.