現在位置: ホーム / セキュリティ ブログ / libgdに複数の脆弱性情報 (CVE-2016-9317, CVE-2016-6912, CVE-2016-10167, CVE-2016-10168, CVE-2016-10169)

libgdに複数の脆弱性情報 (CVE-2016-9317, CVE-2016-6912, CVE-2016-10167, CVE-2016-10168, CVE-2016-10169)

1月29日にlibgdに複数の脆弱性情報 (CVE-2016-9317, CVE-2016-6912, CVE-2016-10167, CVE-2016-10168, CVE-2016-10169)が公開されました。今回は簡単に脆弱性の情報と、各ディストリビューションの対応について簡単にまとめてみます。

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。

1月29日にlibgdに複数の脆弱性情報が公開されました。今回は簡単に脆弱性の情報と、各ディストリビューションの対応について簡単にまとめてみます。



修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

  • CVE-2016-9317
    • 重要度 - Low

    • gdImageCreate()がオーバーサイズのイメージかどうかをチェックしていないため、DoSを引き起こされる可能性があります。

  • CVE-2016-6912
    • 重要度 - Medium

    • gdImageWebPtr() に二重開放の問題が有ります。

  • CVE-2016-10167
    • gd_interpolation.c に符号なしのアンダーフローの問題が有ります。

  • CVE-2016-10166
    • gdImageCreateFromGd2Ctx() にDoSの脆弱性が存在します。

  • CVE-2016-10168
    • 重要度 - Moderate

    • gd_io.c に符号付きの整数オーバーフローが存在します。


主なディストリビューションの対応方法

libgd及び関係するパッケージのバージョンを更新する必要があります。

詳細は、各ディストリビューションの提供元にご確認ください


対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat Satelliteを使うと管理が便利でしょう。

Red Hat Satelliteを用いた一般的なErattaの適用は、『Red Hat Satellite 6でerrataを適用してみる』を参考にして下さい。


セミナー情報

event_2017_02_08

2/8(水)に「OSSセキュリティナイター vol.4」と題して、セキュリティのセミナーを行います。

この回では、『迫る!Red Hat Enterprise Linux 5 通常サポート終了』と題してRHEL5サポート終了に関してのリスクを主軸にセミナーを開催します。

今回も、前回に引き続き、ゲスト講師をお招きし講演をいただきます。

https://connpass.com/event/48977/がプログラム内容と申し込みの詳細になりますので、是非お申し込み下さい。

OSSに関するお困りごとは サイオス OSSよろず相談室まで

サイオスOSSよろず相談室 では、OSSを利用する中で発生する問題に対し、長年培ってきた技術力・サポート力をもって企業のOSS活用を強力に支援します。Red Hat Enterprise Linux のほか、CentOS をご利用されている環境でのサポートも提供いたします。

OSSよろず相談室

サイオスOSSよろず相談室(2)

問い合わせボタン