IBM Support

(参考) IBM Forms Viewer への libpng ライブラリの既知の問題の影響に関して (CVE-2015-8126, CVE-2015-8472)

Security Bulletin


Summary

特別な細工がされた PNG 画像が含まれている IBM Form (XFDL 文書)により、IBM Forms Viewer がクラッシュする可能性があります。この問題は、ビューアが libpng ライブラリを利用していることにより発生します。

Vulnerability Details


CVEID: CVE-2015-8126
説明: libpng にはバッファオーバフローの脆弱性が存在します。これは、png_set_PLTE() と png_get_PLTE() 関数による境界のチェックが不適切なため発生します。特別に細工した PNG ファイルを開くように被害者を仕向けることで、リモートの攻撃者はバッファをオーバーフローさせ、システム上で任意のコードを実行することができてしまいます。

CVSS Base Score: 8.8
CVSS Temporal Score: 現時点のスコアについては ISS X-Force Database を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)

CVEID: CVE-2015-8472
説明: libpng にはバッファオーバフローの脆弱性が存在します。これは、png_set_PLTE() と png_get_PLTE() 関数による境界のチェックが不適切なため発生します。特別に細工した PNG イメージを開くように被害者を仕向けることで、リモートの攻撃者はバッファをオーバーフローさせ、システム上で任意のコードを実行したり、アプリケーションをクラッシュさせることができてしまいます。

CVSS Base Score: 6.3
CVSS Temporal Score: 現時点のスコアについては ISS X-Force Database を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L)

Affected Products and Versions

IBM Forms Viewer 4.0.*
IBM Forms Viewer 8.0.0
IBM Forms Viewer 8.0.1
IBM Forms Viewer 8.1
IBM Forms Viewer 8.2
IBM Forms Viewer 8.2.1

Remediation/Fixes

製品名

VRMFAPAR対応
IBM Forms Viewer4.0.0.*LO87834LO87834 をダウンロードし導入する
IBM Forms Viewer8.0.0.*LO87834LO87834 をダウンロードし導入する
IBM Forms Viewer8.0.1.*LO87834
IBM Forms Viewer8.1.0.*LO87834LO87834 をダウンロードし導入する
IBM Forms Viewer8.2.0.*LO87834LO87834 をダウンロードし導入する
IBM Forms Viewer8.2.1.*LO87834LO87834 をダウンロードし導入する

Get Notified about Future Security Bulletins

Subscribe to My Notifications to be notified of important product support alerts like this.

References

Complete CVSS v2 Guide
On-line Calculator v2

Complete CVSS v3 Guide
On-line Calculator v3

Off

Related Information

IBM Secure Engineering Web Portal
IBM Product Security Incident Response Blog

本事象はセキュリティ問題に該当しているため、問題の再現手順など詳細に関するお問い合わせについて、ここに掲載された以上の情報提供を行っておりません。セキュリティ保全の観点による措置のため、あらかじめご了承いただきますようお願いします。

重要度、発生頻度など当事象を評価する情報については、以下の CVSS 評価値を利用ください。CVSS の評価値の読み方については、「共通脆弱性評価システム CVSS 概説」(CVSS V3) をご参照ください。

原文:
(英文)「Security Bulletin: IBM Forms Viewer may be affected by a known issue with libpng library (CVE-2015-8126, CVE-2015-8472)」(Technote #1973231)

この文書は、米国 IBM 社の資料を翻訳した参考文書です。日本語環境での検証は行っておりませんのでご注意ください。翻訳元の文書は、関連情報のリンクよりご参照ください。

*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.

Disclaimer

Review the IBM security bulletin disclaimer and definitions regarding your responsibilities for assessing potential impact of security vulnerabilities to your environment.

Internal Use Only

DCF Technotes (IS)

1973231Security Bulletin: IBM Forms Viewer may be affected by a known issue with libPNG library (CVE-2015-8126)
Mark BirchNever Expire

[{"Product":{"code":"SS38QR","label":"Lotus Forms Viewer"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Component":"--","Platform":[{"code":"PF033","label":"Windows"}],"Version":"8.2.1;8.2;8.1;8.0.1;8.0;4.0.0.4;4.0.0.2;4.0","Edition":"","Line of Business":{"code":"LOB31","label":"WCE Watson Marketing and Commerce"}}]

Document Information

Modified date:
16 June 2018

UID

swg21978063

Page Feedback