Security Bulletin
Summary
特別な細工がされた PNG 画像が含まれている IBM Form (XFDL 文書)により、IBM Forms Viewer がクラッシュする可能性があります。この問題は、ビューアが libpng ライブラリを利用していることにより発生します。
Vulnerability Details
CVEID: CVE-2015-8126
説明: libpng にはバッファオーバフローの脆弱性が存在します。これは、png_set_PLTE() と png_get_PLTE() 関数による境界のチェックが不適切なため発生します。特別に細工した PNG ファイルを開くように被害者を仕向けることで、リモートの攻撃者はバッファをオーバーフローさせ、システム上で任意のコードを実行することができてしまいます。
CVSS Base Score: 8.8
CVSS Temporal Score: 現時点のスコアについては ISS X-Force Database を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)
CVEID: CVE-2015-8472
説明: libpng にはバッファオーバフローの脆弱性が存在します。これは、png_set_PLTE() と png_get_PLTE() 関数による境界のチェックが不適切なため発生します。特別に細工した PNG イメージを開くように被害者を仕向けることで、リモートの攻撃者はバッファをオーバーフローさせ、システム上で任意のコードを実行したり、アプリケーションをクラッシュさせることができてしまいます。
CVSS Base Score: 6.3
CVSS Temporal Score: 現時点のスコアについては ISS X-Force Database を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L)
Affected Products and Versions
IBM Forms Viewer 4.0.*
IBM Forms Viewer 8.0.0
IBM Forms Viewer 8.0.1
IBM Forms Viewer 8.1
IBM Forms Viewer 8.2
IBM Forms Viewer 8.2.1
Remediation/Fixes
製品名 | VRMF | APAR | 対応 |
IBM Forms Viewer | 4.0.0.* | LO87834 | LO87834 をダウンロードし導入する |
IBM Forms Viewer | 8.0.0.* | LO87834 | LO87834 をダウンロードし導入する |
IBM Forms Viewer | 8.0.1.* | LO87834 | |
IBM Forms Viewer | 8.1.0.* | LO87834 | LO87834 をダウンロードし導入する |
IBM Forms Viewer | 8.2.0.* | LO87834 | LO87834 をダウンロードし導入する |
IBM Forms Viewer | 8.2.1.* | LO87834 | LO87834 をダウンロードし導入する |
Get Notified about Future Security Bulletins
References
*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.
Disclaimer
Review the IBM security bulletin disclaimer and definitions regarding your responsibilities for assessing potential impact of security vulnerabilities to your environment.
Internal Use Only
1973231 | Security Bulletin: IBM Forms Viewer may be affected by a known issue with libPNG library (CVE-2015-8126) | Mark Birch | Never Expire |
Was this topic helpful?
Document Information
Modified date:
16 June 2018
UID
swg21978063