Security Bulletin
Summary
特殊に細工された PNG 画像を含む IBM Form (XFDL 文書) により、IBM Forms Viewer がクラッシュするという問題が報告されました。
Vulnerability Details
CVEID:CVE-2014-9495
説明:
libpng には IDAT データの復元時に適切に境界をチェックしないことによる、ヒープベースのバッファオーバーフローの脆弱性が存在します。ローカル攻撃者はこの脆弱性を利用することにより、バッファーをオーバーフローさせてシステム上で任意のコードを実行させたり、サービス停止を引き起こすことが可能です。
CVSS Base Score: 9.3
CVSS Temporal Score: 現時点のスコアについては ISS X-Force Database を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (AV:N/AC:M/Au:N/C:C/I:C/A:C)
CVEID: CVE-2015-0973
説明:
libpng には IDAT データの復元時に png_read_IDAT_data() 関数で適切に境界をチェックしないことによる、ヒープベースのバッファオーバーフローの脆弱性が存在します。リモート攻撃者は幅の広い IDAT データを使ってこの脆弱性を利用することにより、バッファーをオーバーフローさせてシステム上で任意のコードを実行させたり、サービス停止を引き起こすことが可能です。
CVSS Base Score: 7.5
CVSS Temporal Score: 現時点のスコアについては ISS X-Force Database を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (AV:N/AC:L/Au:N/C:P/I:P/A:P)
Affected Products and Versions
IBM Forms Viewer 4.0.*
IBM Forms Viewer 8.0.0
IBM Forms Viewer 8.0.1
IBM Forms Viewer 8.1
Remediation/Fixes
Product | VRMF | APAR | Remediation |
IBM Forms Viewer | 4.0.0.* | LO84072 | こちらのリンクから LO84072 をダウンロードして適用してください |
IBM Forms Viewer | 8.0.0.* | LO84072 | こちらのリンクから LO84072 をダウンロードして適用してください |
IBM Forms Viewer | 8.0.1.* | LO84072 | |
IBM Forms Viewer | 8.1.0.* | LO84072 | こちらのリンクから LO84072 を適用してインストールしてください |
Get Notified about Future Security Bulletins
References
*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.
Disclaimer
Review the IBM security bulletin disclaimer and definitions regarding your responsibilities for assessing potential impact of security vulnerabilities to your environment.
Internal Use Only
原文
1697791 | Security Bulletin: IBM Forms Viewer can crash based on an embedded PNG image (CVE-2014-9495, CVE-2015-0973) | Mark Birch | 2016/02/25 06:29:43 |
Number | Created | Title | # | Type | ||||
1699393 | 2015/03/16 | (参考) IBM Notes の脆弱性 (CVE-2014-9495 および CVE-2015-0973) | Security Bulletins |
Was this topic helpful?
Document Information
Modified date:
16 June 2018
UID
swg21700399