NVD Vulnerability Detail

CVE-2008-1679

Summary	Multiple integer overflows in imageop.c in Python before 2.5.3 allow context-dependent attackers to cause a denial of service (crash) and possibly execute arbitrary code via crafted images that trigger heap-based buffer overflows. NOTE: this issue is due to an incomplete fix for CVE-2007-4965.
Summary	Múltiples desbordamientos de entero en imageop.c de Python versiones anteriores a 2.5.3 permiten a atacantes dependientes de contexto provocar una denegación de servicio (caída) y posiblemente ejecutar código de su elección a través de imágenes manipuladas que disparan desbordamientos de búfer basado en montículo. NOTA: esta cuestión es debida a una corrección incompleta para CVE-2007-4965.
Publication Date	April 22, 2008, 1:41 p.m.
Registration Date	Jan. 29, 2021, 1:34 p.m.
Last Update	April 23, 2026, 9:35 a.m.

CVSS2.0 : MEDIUM
Score	6.8
Vector	AV:N/AC:M/Au:N/C:P/I:P/A:P
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	中
攻撃前の認証要否(Au)	不要
機密性への影響(C)	低
完全性への影響(I)	低
可用性への影響(A)	低
Get all privileges.	いいえ
Get user privileges	いいえ
Get other privileges	はい
User operation required	はい

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:python:python::::::::					2.5.3

Related information, measures and tools

No	URL	refsource
1	http://bugs.python.org/issue1179	cve@mitre.org
2	http://bugs.python.org/msg64682	cve@mitre.org
3	http://lists.apple.com/archives/security-announce/2009/Feb/msg00000.html	cve@mitre.org
4	http://lists.opensuse.org/opensuse-security-announce/2008-08/msg00006.html	cve@mitre.org
5	http://secunia.com/advisories/29889	cve@mitre.org
6	http://secunia.com/advisories/29955	cve@mitre.org
7	http://secunia.com/advisories/30872	cve@mitre.org
8	http://secunia.com/advisories/31255	cve@mitre.org
9	http://secunia.com/advisories/31358	cve@mitre.org
10	http://secunia.com/advisories/31365	cve@mitre.org
11	http://secunia.com/advisories/31518	cve@mitre.org
12	http://secunia.com/advisories/31687	cve@mitre.org
13	http://secunia.com/advisories/33937	cve@mitre.org
14	http://secunia.com/advisories/38675	cve@mitre.org
15	http://security.gentoo.org/glsa/glsa-200807-01.xml	cve@mitre.org
16	http://slackware.com/security/viewer.php?l=slackware-security&y=2008&m=slackware-security.525289	cve@mitre.org
17	http://support.apple.com/kb/HT3438	cve@mitre.org
18	http://support.avaya.com/css/P8/documents/100074697	cve@mitre.org
19	http://wiki.rpath.com/wiki/Advisories:rPSA-2008-0149	cve@mitre.org
20	http://www.debian.org/security/2008/dsa-1551	cve@mitre.org
21	http://www.debian.org/security/2008/dsa-1620	cve@mitre.org
22	http://www.mandriva.com/security/advisories?name=MDVSA-2008:163	cve@mitre.org
23	http://www.mandriva.com/security/advisories?name=MDVSA-2008:164	cve@mitre.org
24	http://www.novell.com/support/search.do?cmd=displayKC&docType=kc&externalId=InfoDocument-patchbuilder-readme5032900	cve@mitre.org
25	http://www.ubuntu.com/usn/usn-632-1	cve@mitre.org
26	https://exchange.xforce.ibmcloud.com/vulnerabilities/41958	cve@mitre.org
27	https://issues.rpath.com/browse/RPL-2424	cve@mitre.org
28	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A10583	cve@mitre.org
29	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A7800	cve@mitre.org
30	http://bugs.python.org/issue1179	af854a3a-2127-422b-91ae-364da2661108
31	http://bugs.python.org/msg64682	af854a3a-2127-422b-91ae-364da2661108
32	http://lists.apple.com/archives/security-announce/2009/Feb/msg00000.html	af854a3a-2127-422b-91ae-364da2661108
33	http://lists.opensuse.org/opensuse-security-announce/2008-08/msg00006.html	af854a3a-2127-422b-91ae-364da2661108
34	http://secunia.com/advisories/29889	af854a3a-2127-422b-91ae-364da2661108
35	http://secunia.com/advisories/29955	af854a3a-2127-422b-91ae-364da2661108
36	http://secunia.com/advisories/30872	af854a3a-2127-422b-91ae-364da2661108
37	http://secunia.com/advisories/31255	af854a3a-2127-422b-91ae-364da2661108
38	http://secunia.com/advisories/31358	af854a3a-2127-422b-91ae-364da2661108
39	http://secunia.com/advisories/31365	af854a3a-2127-422b-91ae-364da2661108
40	http://secunia.com/advisories/31518	af854a3a-2127-422b-91ae-364da2661108
41	http://secunia.com/advisories/31687	af854a3a-2127-422b-91ae-364da2661108
42	http://secunia.com/advisories/33937	af854a3a-2127-422b-91ae-364da2661108
43	http://secunia.com/advisories/38675	af854a3a-2127-422b-91ae-364da2661108
44	http://security.gentoo.org/glsa/glsa-200807-01.xml	af854a3a-2127-422b-91ae-364da2661108
45	http://slackware.com/security/viewer.php?l=slackware-security&y=2008&m=slackware-security.525289	af854a3a-2127-422b-91ae-364da2661108
46	http://support.apple.com/kb/HT3438	af854a3a-2127-422b-91ae-364da2661108
47	http://support.avaya.com/css/P8/documents/100074697	af854a3a-2127-422b-91ae-364da2661108
48	http://wiki.rpath.com/wiki/Advisories:rPSA-2008-0149	af854a3a-2127-422b-91ae-364da2661108
49	http://www.debian.org/security/2008/dsa-1551	af854a3a-2127-422b-91ae-364da2661108
50	http://www.debian.org/security/2008/dsa-1620	af854a3a-2127-422b-91ae-364da2661108
51	http://www.mandriva.com/security/advisories?name=MDVSA-2008:163	af854a3a-2127-422b-91ae-364da2661108
52	http://www.mandriva.com/security/advisories?name=MDVSA-2008:164	af854a3a-2127-422b-91ae-364da2661108
53	http://www.novell.com/support/search.do?cmd=displayKC&docType=kc&externalId=InfoDocument-patchbuilder-readme5032900	af854a3a-2127-422b-91ae-364da2661108
54	http://www.ubuntu.com/usn/usn-632-1	af854a3a-2127-422b-91ae-364da2661108
55	https://exchange.xforce.ibmcloud.com/vulnerabilities/41958	af854a3a-2127-422b-91ae-364da2661108
56	https://issues.rpath.com/browse/RPL-2424	af854a3a-2127-422b-91ae-364da2661108
57	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A10583	af854a3a-2127-422b-91ae-364da2661108
58	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A7800	af854a3a-2127-422b-91ae-364da2661108

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-190	整数オーバーフローまたはラップアラウンド	https://cwe.mitre.org/data/definitions/190.html

JVN Vulnerability Information

Python の imageop.c における整数オーバーフローの脆弱性

Title	Python の imageop.c における整数オーバーフローの脆弱性
Summary	Python の imageop.c には、画像の処理に不備があるため、整数オーバーフローの脆弱性が存在します。
Possible impacts	巧妙に細工された画像を処理することにより、任意のコードを実行される可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	April 22, 2008, midnight
Registration Date	March 17, 2009, 12:05 p.m.
Last Update	Jan. 19, 2010, 3:48 p.m.

Affected System

サン・マイクロシステムズ

OpenSolaris (sparc)

OpenSolaris (x86)

Sun Solaris 10 (sparc)

Sun Solaris 10 (x86)

レッドハット

Red Hat Enterprise Linux 3 (as)

Red Hat Enterprise Linux 3 (es)

Red Hat Enterprise Linux 3 (ws)

Red Hat Enterprise Linux 4 (as)

Red Hat Enterprise Linux 4 (es)

Red Hat Enterprise Linux 4 (ws)

Red Hat Enterprise Linux 4.8 (as)

Red Hat Enterprise Linux 4.8 (es)

Red Hat Enterprise Linux Desktop 3.0

Red Hat Enterprise Linux Desktop 4.0

サイバートラスト株式会社

Asianux Server 4.0

Asianux Server 4.0 (x86-64)

アップル

Apple Mac OS X v10.4.11

Apple Mac OS X v10.5.6

Apple Mac OS X Server v10.4.11

Apple Mac OS X Server v10.5.6

Python Software Foundation

Python 2.5.3 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2008-1679	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1679
National Vulnerability Database (NVD)
2	CVE-2008-1679	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-1679

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-189	https://jvndb.jvn.jp/ja/cwe/CWE-189.html

ベンダー情報

No	Name	URL
Apple Security Updates
1	HT3438	http://support.apple.com/kb/HT3438
Apple セキュリティアップデート
2	HT3438	http://support.apple.com/kb/HT3438?viewlocale=ja_JP
MIRACLE LINUX アップデート情報
3	1757	http://www.miraclelinux.com/support/index.php?q=node/99&errata_id=1757
Python
4	Issue1179	http://bugs.python.org/issue1179
5	Message64682	http://bugs.python.org/msg64682
Red Hat Security Advisory
6	RHSA-2009:1177	https://rhn.redhat.com/errata/RHSA-2009-1177.html
7	RHSA-2009:1178	https://rhn.redhat.com/errata/RHSA-2009-1178.html
Sun Alert Notification
8	273570	http://sunsolve.sun.com/search/document.do?assetkey=1-66-273570-1
レッドハットセキュリティーアップデート
9	RHSA-2009:1177	https://www.jp.redhat.com/support/errata/RHSA/RHSA-2009-1177J.html
10	RHSA-2009:1178	https://www.jp.redhat.com/support/errata/RHSA/RHSA-2009-1178J.html

その他

No	Name	URL
ISS X-Force Database
1	41958	http://xforce.iss.net/xforce/xfdb/41958
Secunia Advisory
2	SA33937	http://secunia.com/advisories/33937

Change Log

No	Changed Details	Date of change
0	[2009年03月17日] 掲載 [2009年08月20日] 影響を受けるシステム：ミラクル・リナックス (1757) の情報を追加影響を受けるシステム：レッドハット (RHSA-2009:1177) の情報を追加影響を受けるシステム：レッドハット (RHSA-2009:1178) の情報を追加ベンダ情報：ミラクル・リナックス (1757) を追加ベンダ情報：レッドハット (RHSA-2009:1177) を追加ベンダ情報：レッドハット (RHSA-2009:1178) を追加 [2010年01月19日] 影響を受けるシステム：サン・マイクロシステムズ (273570) の情報を追加ベンダ情報：サン・マイクロシステムズ (273570) を追加	Feb. 17, 2018, 10:37 a.m.