Blame SOURCES/libtiff-CVE-2012-2113.patch

0e6869
Defend against integer overflow in buffer size calculations within tiff2pdf.
0e6869
CVE-2012-2113
0e6869
0e6869
0e6869
diff -Naur tiff-3.9.4.orig/tools/tiff2pdf.c tiff-3.9.4/tools/tiff2pdf.c
0e6869
--- tiff-3.9.4.orig/tools/tiff2pdf.c	2010-06-13 16:51:44.000000000 -0400
0e6869
+++ tiff-3.9.4/tools/tiff2pdf.c	2012-06-27 13:13:44.581229393 -0400
0e6869
@@ -44,6 +44,7 @@
0e6869
 # include <io.h>
0e6869
 #endif
0e6869
 
0e6869
+#include "tiffiop.h"
0e6869
 #include "tiffio.h"
0e6869
 
0e6869
 #ifndef HAVE_GETOPT
0e6869
@@ -414,6 +415,34 @@
0e6869
 	(void) handle, (void) data, (void) offset;
0e6869
 }
0e6869
 
0e6869
+static uint64
0e6869
+checkAdd64(uint64 summand1, uint64 summand2, T2P* t2p)
0e6869
+{
0e6869
+	uint64 bytes = summand1 + summand2;
0e6869
+
0e6869
+	if (bytes - summand1 != summand2) {
0e6869
+		TIFFError(TIFF2PDF_MODULE, "Integer overflow");
0e6869
+		t2p->t2p_error = T2P_ERR_ERROR;
0e6869
+		bytes = 0;
0e6869
+	}
0e6869
+
0e6869
+	return bytes;
0e6869
+}
0e6869
+
0e6869
+static uint64
0e6869
+checkMultiply64(uint64 first, uint64 second, T2P* t2p)
0e6869
+{
0e6869
+	uint64 bytes = first * second;
0e6869
+
0e6869
+	if (second && bytes / second != first) {
0e6869
+		TIFFError(TIFF2PDF_MODULE, "Integer overflow");
0e6869
+		t2p->t2p_error = T2P_ERR_ERROR;
0e6869
+		bytes = 0;
0e6869
+	}
0e6869
+
0e6869
+	return bytes;
0e6869
+}
0e6869
+
0e6869
 /*
0e6869
 
0e6869
   This is the main function.
0e6869
@@ -1828,9 +1857,7 @@
0e6869
 	tstrip_t i=0;
0e6869
 	tstrip_t stripcount=0;
0e6869
 #endif
0e6869
-#ifdef OJPEG_SUPPORT
0e6869
-        tsize_t k = 0;
0e6869
-#endif
0e6869
+        uint64 k = 0;
0e6869
 
0e6869
 	if(t2p->pdf_transcode == T2P_TRANSCODE_RAW){
0e6869
 #ifdef CCITT_SUPPORT
0e6869
@@ -1858,19 +1885,25 @@
0e6869
 			}
0e6869
 			stripcount=TIFFNumberOfStrips(input);
0e6869
 			for(i=0;i
0e6869
-				k += sbc[i];
0e6869
+				k = checkAdd64(k, sbc[i], t2p);
0e6869
 			}
0e6869
 			if(TIFFGetField(input, TIFFTAG_JPEGIFOFFSET, &(t2p->tiff_dataoffset))){
0e6869
 				if(t2p->tiff_dataoffset != 0){
0e6869
 					if(TIFFGetField(input, TIFFTAG_JPEGIFBYTECOUNT, &(t2p->tiff_datasize))!=0){
0e6869
 						if(t2p->tiff_datasize < k) {
0e6869
-							t2p->pdf_ojpegiflength=t2p->tiff_datasize;
0e6869
-							t2p->tiff_datasize+=k;
0e6869
-							t2p->tiff_datasize+=6;
0e6869
-							t2p->tiff_datasize+=2*stripcount;
0e6869
 							TIFFWarning(TIFF2PDF_MODULE, 
0e6869
 								"Input file %s has short JPEG interchange file byte count", 
0e6869
 								TIFFFileName(input));
0e6869
+							t2p->pdf_ojpegiflength=t2p->tiff_datasize;
0e6869
+							k = checkAdd64(k, t2p->tiff_datasize, t2p);
0e6869
+							k = checkAdd64(k, 6, t2p);
0e6869
+							k = checkAdd64(k, stripcount, t2p);
0e6869
+							k = checkAdd64(k, stripcount, t2p);
0e6869
+							t2p->tiff_datasize = (tsize_t) k;
0e6869
+							if ((uint64) t2p->tiff_datasize != k) {
0e6869
+								TIFFError(TIFF2PDF_MODULE, "Integer overflow");
0e6869
+								t2p->t2p_error = T2P_ERR_ERROR;
0e6869
+							}
0e6869
 							return;
0e6869
 						}
0e6869
 						return;
0e6869
@@ -1883,9 +1916,14 @@
0e6869
 					}
0e6869
 				}
0e6869
 			}
0e6869
-			t2p->tiff_datasize+=k;
0e6869
-			t2p->tiff_datasize+=2*stripcount;
0e6869
-			t2p->tiff_datasize+=2048;
0e6869
+			k = checkAdd64(k, stripcount, t2p);
0e6869
+			k = checkAdd64(k, stripcount, t2p);
0e6869
+			k = checkAdd64(k, 2048, t2p);
0e6869
+			t2p->tiff_datasize = (tsize_t) k;
0e6869
+			if ((uint64) t2p->tiff_datasize != k) {
0e6869
+				TIFFError(TIFF2PDF_MODULE, "Integer overflow");
0e6869
+				t2p->t2p_error = T2P_ERR_ERROR;
0e6869
+			}
0e6869
 			return;
0e6869
 		}
0e6869
 #endif
0e6869
@@ -1894,11 +1932,11 @@
0e6869
 			uint32 count = 0;
0e6869
 			if(TIFFGetField(input, TIFFTAG_JPEGTABLES, &count, &jpt) != 0 ){
0e6869
 				if(count > 4){
0e6869
-					t2p->tiff_datasize += count;
0e6869
-					t2p->tiff_datasize -= 2; /* don't use EOI of header */
0e6869
+					k += count;
0e6869
+					k -= 2; /* don't use EOI of header */
0e6869
 				}
0e6869
 			} else {
0e6869
-				t2p->tiff_datasize = 2; /* SOI for first strip */
0e6869
+				k = 2; /* SOI for first strip */
0e6869
 			}
0e6869
 			stripcount=TIFFNumberOfStrips(input);
0e6869
 			if(!TIFFGetField(input, TIFFTAG_STRIPBYTECOUNTS, &sbc)){
0e6869
@@ -1909,18 +1947,33 @@
0e6869
 				return;
0e6869
 			}
0e6869
 			for(i=0;i
0e6869
-				t2p->tiff_datasize += sbc[i];
0e6869
-				t2p->tiff_datasize -=4; /* don't use SOI or EOI of strip */
0e6869
+				k = checkAdd64(k, sbc[i], t2p);
0e6869
+				k -=4; /* don't use SOI or EOI of strip */
0e6869
+			}
0e6869
+			k = checkAdd64(k, 2, t2p); /* use EOI of last strip */
0e6869
+			t2p->tiff_datasize = (tsize_t) k;
0e6869
+			if ((uint64) t2p->tiff_datasize != k) {
0e6869
+				TIFFError(TIFF2PDF_MODULE, "Integer overflow");
0e6869
+				t2p->t2p_error = T2P_ERR_ERROR;
0e6869
 			}
0e6869
-			t2p->tiff_datasize +=2; /* use EOI of last strip */
0e6869
 			return;
0e6869
 		}
0e6869
 #endif
0e6869
 		(void) 0;
0e6869
 	}
0e6869
-	t2p->tiff_datasize=TIFFScanlineSize(input) * t2p->tiff_length;
0e6869
+	k = checkMultiply64(TIFFScanlineSize(input), t2p->tiff_length, t2p);
0e6869
 	if(t2p->tiff_planar==PLANARCONFIG_SEPARATE){
0e6869
-		t2p->tiff_datasize*= t2p->tiff_samplesperpixel;
0e6869
+		k = checkMultiply64(k, t2p->tiff_samplesperpixel, t2p);
0e6869
+	}
0e6869
+	if (k == 0) {
0e6869
+		/* Assume we had overflow inside TIFFScanlineSize */
0e6869
+		t2p->t2p_error = T2P_ERR_ERROR;
0e6869
+	}
0e6869
+
0e6869
+	t2p->tiff_datasize = (tsize_t) k;
0e6869
+	if ((uint64) t2p->tiff_datasize != k) {
0e6869
+		TIFFError(TIFF2PDF_MODULE, "Integer overflow");
0e6869
+		t2p->t2p_error = T2P_ERR_ERROR;
0e6869
 	}
0e6869
 
0e6869
 	return;
0e6869
@@ -1938,6 +1991,7 @@
0e6869
 #ifdef JPEG_SUPPORT
0e6869
 	unsigned char* jpt;
0e6869
 #endif
0e6869
+        uint64 k;
0e6869
 
0e6869
 	edge |= t2p_tile_is_right_edge(t2p->tiff_tiles[t2p->pdf_page], tile);
0e6869
 	edge |= t2p_tile_is_bottom_edge(t2p->tiff_tiles[t2p->pdf_page], tile);
0e6869
@@ -1949,14 +2003,17 @@
0e6869
 #endif
0e6869
 		){
0e6869
 			t2p->tiff_datasize=TIFFTileSize(input);
0e6869
+			if (t2p->tiff_datasize == 0) {
0e6869
+				/* Assume we had overflow inside TIFFTileSize */
0e6869
+				t2p->t2p_error = T2P_ERR_ERROR;
0e6869
+			}
0e6869
 			return;
0e6869
 		} else {
0e6869
 			TIFFGetField(input, TIFFTAG_TILEBYTECOUNTS, &tbc;;
0e6869
-			t2p->tiff_datasize=tbc[tile];
0e6869
+			k=tbc[tile];
0e6869
 #ifdef OJPEG_SUPPORT
0e6869
 			if(t2p->tiff_compression==COMPRESSION_OJPEG){
0e6869
-				t2p->tiff_datasize+=2048;
0e6869
-				return;
0e6869
+			  	k = checkAdd64(k, 2048, t2p);
0e6869
 			}
0e6869
 #endif
0e6869
 #ifdef JPEG_SUPPORT
0e6869
@@ -1964,18 +2021,33 @@
0e6869
 				uint32 count = 0;
0e6869
 				if(TIFFGetField(input, TIFFTAG_JPEGTABLES, &count, &jpt)!=0){
0e6869
 					if(count > 4){
0e6869
-						t2p->tiff_datasize += count;
0e6869
-						t2p->tiff_datasize -= 4; /* don't use EOI of header or SOI of tile */
0e6869
+						k = checkAdd64(k, count, t2p);
0e6869
+						k -= 4; /* don't use EOI of header or SOI of tile */
0e6869
 					}
0e6869
 				}
0e6869
 			}
0e6869
 #endif
0e6869
+			t2p->tiff_datasize = (tsize_t) k;
0e6869
+			if ((uint64) t2p->tiff_datasize != k) {
0e6869
+				TIFFError(TIFF2PDF_MODULE, "Integer overflow");
0e6869
+				t2p->t2p_error = T2P_ERR_ERROR;
0e6869
+			}
0e6869
 			return;
0e6869
 		}
0e6869
 	}
0e6869
-	t2p->tiff_datasize=TIFFTileSize(input);
0e6869
+	k = TIFFTileSize(input);
0e6869
 	if(t2p->tiff_planar==PLANARCONFIG_SEPARATE){
0e6869
-		t2p->tiff_datasize*= t2p->tiff_samplesperpixel;
0e6869
+		k = checkMultiply64(k, t2p->tiff_samplesperpixel, t2p);
0e6869
+	}
0e6869
+	if (k == 0) {
0e6869
+		/* Assume we had overflow inside TIFFTileSize */
0e6869
+		t2p->t2p_error = T2P_ERR_ERROR;
0e6869
+	}
0e6869
+
0e6869
+	t2p->tiff_datasize = (tsize_t) k;
0e6869
+	if ((uint64) t2p->tiff_datasize != k) {
0e6869
+		TIFFError(TIFF2PDF_MODULE, "Integer overflow");
0e6869
+		t2p->t2p_error = T2P_ERR_ERROR;
0e6869
 	}
0e6869
 
0e6869
 	return;
0e6869
@@ -2068,6 +2140,10 @@
0e6869
 	uint32 max_striplength=0;
0e6869
 #endif
0e6869
 
0e6869
+	/* Fail if prior error (in particular, can't trust tiff_datasize) */
0e6869
+	if (t2p->t2p_error != T2P_ERR_OK)
0e6869
+		return(0);
0e6869
+
0e6869
 	if(t2p->pdf_transcode == T2P_TRANSCODE_RAW){
0e6869
 #ifdef CCITT_SUPPORT
0e6869
 		if(t2p->pdf_compression == T2P_COMPRESS_G4){
0e6869
@@ -2641,6 +2717,10 @@
0e6869
 	uint32 xuint32=0;
0e6869
 #endif
0e6869
 
0e6869
+	/* Fail if prior error (in particular, can't trust tiff_datasize) */
0e6869
+	if (t2p->t2p_error != T2P_ERR_OK)
0e6869
+		return(0);
0e6869
+
0e6869
 	edge |= t2p_tile_is_right_edge(t2p->tiff_tiles[t2p->pdf_page], tile);
0e6869
 	edge |= t2p_tile_is_bottom_edge(t2p->tiff_tiles[t2p->pdf_page], tile);
0e6869