BDU:2020-03281

Опубликовано: 09 фев. 2019

Источник: fstec

CVSS2: 4.3

EPSS Низкий

Описание

Уязвимость функции TIFFWriteDirectoryTagTransferfunction программного обеспечения для просмотра, редактирования и конвертирования TIFF-файлов связана с выходом операции за допустимые границы буфера данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

Canonical Ltd.

Сообщество свободного программного обеспечения

ООО «РусБИТех-Астра»

Silicon Graphics Corp.

Novell Inc.

АО «Концерн ВНИИНС»

Наименование ПО

Ubuntu

Debian GNU/Linux

Astra Linux Special Edition

LibTIFF

OpenSUSE Leap

Astra Linux Special Edition для «Эльбрус»

ОС ОН «Стрелец»

Версия ПО

16.04 LTS (Ubuntu)

9 (Debian GNU/Linux)

18.04 LTS (Ubuntu)

18.10 (Ubuntu)

1.6 «Смоленск» (Astra Linux Special Edition)

8.0 (Debian GNU/Linux)

12.04 ESM (Ubuntu)

4.0.10 (LibTIFF)

15.0 (OpenSUSE Leap)

14.04 ESM (Ubuntu)

10 (Debian GNU/Linux)

8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)

до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Canonical Ltd. Ubuntu 16.04 LTS

Сообщество свободного программного обеспечения Debian GNU/Linux 9

Canonical Ltd. Ubuntu 18.04 LTS

Canonical Ltd. Ubuntu 18.10

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»

Сообщество свободного программного обеспечения Debian GNU/Linux 8.0

Canonical Ltd. Ubuntu 12.04 ESM

Silicon Graphics Corp. LibTIFF 4.0.10

Novell Inc. OpenSUSE Leap 15.0

Canonical Ltd. Ubuntu 14.04 ESM

Сообщество свободного программного обеспечения Debian GNU/Linux 10

ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»

АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Для библиотеки LibTIFF:

https://gitlab.com/libtiff/libtiff/commit/802d3cbf3043be5dce5317e140ccb1c17a6a2d39

Для Ubuntu:

https://usn.ubuntu.com/3906-1/

https://usn.ubuntu.com/3906-2/

Для Debian GNU/Linux:

https://lists.debian.org/debian-lts-announce/2019/02/msg00026.html

https://www.debian.org/security/2020/dsa-4670

Для программных продуктов Novell Inc.:

https://lists.opensuse.org/opensuse-security-announce/2019-04/msg00041.html

Для Astra Linux:

Использование рекомендаций производителя:

https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16

https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81

Для ОС ОН «Стрелец»:

Обновление программного обеспечения tiff до версии 4.0.8-2+deb9u8

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2019-7663
CVE

EPSS

Процентиль: 82%

0.01762

Низкий

4.3 Medium

CVSS2

Связанные уязвимости

CVE-2019-7663

CVSS3: 6.5

ubuntu

больше 6 лет назад

An Invalid Address dereference was discovered in TIFFWriteDirectoryTagTransferfunction in libtiff/tif_dirwrite.c in LibTIFF 4.0.10, affecting the cpSeparateBufToContigBuf function in tiffcp.c. Remote attackers could leverage this vulnerability to cause a denial-of-service via a crafted tiff file. This is different from CVE-2018-12900.