Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-04981

Опубликовано: 21 июн. 2022
Источник: fstec
CVSS3: 5.5
CVSS2: 4.9
EPSS Низкий

Описание

Уязвимость функции TIFFFetchStripThing() библиотеки LibTIFF связана с использованием неинициализированного ресурса при обработке TIFF файлов. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании

Вендор

Silicon Graphics Corp.
Amazon.com Inc.

Наименование ПО

LibTIFF
Amazon Linux 2

Версия ПО

от 4.0.3 до 4.4.0 (LibTIFF)
до 2.0.20220606.1.0 (Amazon Linux 2)

Тип ПО

Прикладное ПО информационных систем
Операционная система

Операционные системы и аппаратные платформы

Amazon.com Inc. Amazon Linux 2 до 2.0.20220606.1.0

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,9)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для LibTIFF:
http://www.simplesystems.org/libtiff/releases/v4.4.0.html
Для Amazon Linux:
https://alas.aws.amazon.com/AL2/ALAS-2022-1814.html
https://docs.aws.amazon.com/AL2/latest/relnotes/relnotes-20220606.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 35%
0.00141
Низкий

5.5 Medium

CVSS3

4.9 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2022-34266

CVSS3: 5.5
ubuntu
больше 3 лет назад

The libtiff-4.0.3-35.amzn2.0.1 package for LibTIFF on Amazon Linux 2 allows attackers to cause a denial of service (application crash), a different vulnerability than CVE-2022-0562. When processing a malicious TIFF file, an invalid range may be passed as an argument to the memset() function within TIFFFetchStripThing() in tif_dirread.c. This will cause TIFFFetchStripThing() to segfault after use of an uninitialized resource.

nvd логотип

CVE-2022-34266

CVSS3: 5.5
nvd
больше 3 лет назад

The libtiff-4.0.3-35.amzn2.0.1 package for LibTIFF on Amazon Linux 2 allows attackers to cause a denial of service (application crash), a different vulnerability than CVE-2022-0562. When processing a malicious TIFF file, an invalid range may be passed as an argument to the memset() function within TIFFFetchStripThing() in tif_dirread.c. This will cause TIFFFetchStripThing() to segfault after use of an uninitialized resource.

github логотип

GHSA-q3wp-jqqj-9mvf

CVSS3: 5.5
github
больше 3 лет назад

The libtiff-4.0.3-35.amzn2.0.1 package for LibTIFF on Amazon Linux 2 allows attackers to cause a denial of service (application crash), a different vulnerability than CVE-2022-0562. When processing a malicious TIFF file, an invalid range may be passed as an argument to the memset() function within TIFFFetchStripThing() in tif_dirread.c. This will cause TIFFFetchStripThing() to segfault after use of an uninitialized resource.

suse-cvrf логотип

SUSE-SU-2022:3690-1

suse-cvrf
больше 3 лет назад

Security update for tiff

suse-cvrf логотип

SUSE-SU-2022:3679-1

suse-cvrf
больше 3 лет назад

Security update for tiff

EPSS

Процентиль: 35%
0.00141
Низкий

5.5 Medium

CVSS3

4.9 Medium

CVSS2