BDU:2023-03608

Опубликовано: 22 апр. 2023

Источник: fstec

CVSS3: 5.5

CVSS2: 4.9

EPSS Низкий

Описание

Уязвимость функции LZWDecode() (libtiff /tif_lzw.c) библиотеки LibTIFF связана с разыменованием нулевого указателя. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании с помощью специально созданных входных данных

Вендор

Novell Inc.

Сообщество свободного программного обеспечения

ООО «Ред Софт»

АО «ИВК»

Red Hat Inc.

Silicon Graphics Corp.

АО "НППКТ"

Наименование ПО

Suse Linux Enterprise Desktop

SUSE Linux Enterprise Server for SAP Applications

Suse Linux Enterprise Server

Debian GNU/Linux

РЕД ОС

Альт 8 СП

Red Hat Enterprise Linux

LibTIFF

АЛЬТ СП 10

ОСОН ОСнова Оnyx

Версия ПО

12 SP3 (Suse Linux Enterprise Desktop)

12 SP4 (Suse Linux Enterprise Desktop)

12 SP2 (SUSE Linux Enterprise Server for SAP Applications)

12 SP4 (SUSE Linux Enterprise Server for SAP Applications)

12 SP4 (Suse Linux Enterprise Server)

12 SP2-BCL (Suse Linux Enterprise Server)

12 SP2-ESPOS (Suse Linux Enterprise Server)

12-LTSS (Suse Linux Enterprise Server)

15 (SUSE Linux Enterprise Server for SAP Applications)

15 SP1 (SUSE Linux Enterprise Server for SAP Applications)

12 SP2-LTSS (Suse Linux Enterprise Server)

12 SP3-LTSS (Suse Linux Enterprise Server)

12 SP3-BCL (Suse Linux Enterprise Server)

12 SP5 (Suse Linux Enterprise Server)

12 SP5 (SUSE Linux Enterprise Server for SAP Applications)

10 (Debian GNU/Linux)

12 SP3-ESPOS (Suse Linux Enterprise Server)

12 SP2 (Suse Linux Enterprise Desktop)

12 SP2 (Suse Linux Enterprise Server)

15-LTSS (Suse Linux Enterprise Server)

12 SP1 (Suse Linux Enterprise Desktop)

12 (SUSE Linux Enterprise Server for SAP Applications)

12 (Suse Linux Enterprise Desktop)

12 SP4-ESPOS (Suse Linux Enterprise Server)

12 SP4-LTSS (Suse Linux Enterprise Server)

15 SP1-BCL (Suse Linux Enterprise Server)

15 SP1-LTSS (Suse Linux Enterprise Server)

15 SP1 (Suse Linux Enterprise Server)

11 (Debian GNU/Linux)

12 (Suse Linux Enterprise Server)

7.3 (РЕД ОС)

15 SP3 (Suse Linux Enterprise Server)

15 SP3 (SUSE Linux Enterprise Server for SAP Applications)

15 SP3 (Suse Linux Enterprise Desktop)

15 SP2 (Suse Linux Enterprise Server)

15 SP2 (SUSE Linux Enterprise Server for SAP Applications)

- (Альт 8 СП)

15 SP4 (Suse Linux Enterprise Server)

15 SP2 (Suse Linux Enterprise Desktop)

15 SP4 (Suse Linux Enterprise Desktop)

15 (Suse Linux Enterprise Server)

15 SP2-BCL (Suse Linux Enterprise Server)

15 SP4 (SUSE Linux Enterprise Server for SAP Applications)

9 (Red Hat Enterprise Linux)

15 SP2-LTSS (Suse Linux Enterprise Server)

15 SP1 (Suse Linux Enterprise Desktop)

15 (Suse Linux Enterprise Desktop)

15 SP3-LTSS (Suse Linux Enterprise Server)

до 4.5.0 (LibTIFF)

15 SP3-BCL (Suse Linux Enterprise Server)

15 SP5 (SUSE Linux Enterprise Server for SAP Applications)

15 SP5 (Suse Linux Enterprise Server)

15 SP5 (Suse Linux Enterprise Desktop)

- (АЛЬТ СП 10)

до 2.9 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Novell Inc. Suse Linux Enterprise Desktop 12 SP3

Novell Inc. Suse Linux Enterprise Desktop 12 SP4

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4

Novell Inc. Suse Linux Enterprise Server 12 SP4

Novell Inc. Suse Linux Enterprise Server 12 SP2-BCL

Novell Inc. Suse Linux Enterprise Server 12 SP2-ESPOS

Novell Inc. Suse Linux Enterprise Server 12-LTSS

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP1

Novell Inc. Suse Linux Enterprise Server 12 SP2-LTSS

Novell Inc. Suse Linux Enterprise Server 12 SP3-LTSS

Novell Inc. Suse Linux Enterprise Server 12 SP3-BCL

Novell Inc. Suse Linux Enterprise Server 12 SP5

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5

Сообщество свободного программного обеспечения Debian GNU/Linux 10

Novell Inc. Suse Linux Enterprise Server 12 SP3-ESPOS

Novell Inc. Suse Linux Enterprise Desktop 12 SP2

Novell Inc. Suse Linux Enterprise Server 12 SP2

Novell Inc. Suse Linux Enterprise Server 15-LTSS

Novell Inc. Suse Linux Enterprise Desktop 12 SP1

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12

Novell Inc. Suse Linux Enterprise Desktop 12

Novell Inc. Suse Linux Enterprise Server 12 SP4-ESPOS

Novell Inc. Suse Linux Enterprise Server 12 SP4-LTSS

Novell Inc. Suse Linux Enterprise Server 15 SP1-BCL

Novell Inc. Suse Linux Enterprise Server 15 SP1-LTSS

Novell Inc. Suse Linux Enterprise Server 15 SP1

Сообщество свободного программного обеспечения Debian GNU/Linux 11

Novell Inc. Suse Linux Enterprise Server 12

ООО «Ред Софт» РЕД ОС 7.3

Novell Inc. Suse Linux Enterprise Server 15 SP3

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP3

Novell Inc. Suse Linux Enterprise Desktop 15 SP3

Novell Inc. Suse Linux Enterprise Server 15 SP2

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP2

АО «ИВК» Альт 8 СП -

Novell Inc. Suse Linux Enterprise Server 15 SP4

Novell Inc. Suse Linux Enterprise Desktop 15 SP2

Novell Inc. Suse Linux Enterprise Desktop 15 SP4

Novell Inc. Suse Linux Enterprise Server 15

Novell Inc. Suse Linux Enterprise Server 15 SP2-BCL

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP4

Red Hat Inc. Red Hat Enterprise Linux 9

Novell Inc. Suse Linux Enterprise Server 15 SP2-LTSS

Novell Inc. Suse Linux Enterprise Desktop 15 SP1

Novell Inc. Suse Linux Enterprise Desktop 15

Novell Inc. Suse Linux Enterprise Server 15 SP3-LTSS

Novell Inc. Suse Linux Enterprise Server 15 SP3-BCL

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP5

Novell Inc. Suse Linux Enterprise Server 15 SP5

Novell Inc. Suse Linux Enterprise Desktop 15 SP5

АО «ИВК» АЛЬТ СП 10 -

АО "НППКТ" ОСОН ОСнова Оnyx до 2.9

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,9)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Для LibTIFF:

https://gitlab.com/libtiff/libtiff/-/issues/548

Для РедОС:

http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для программных продуктов Debian GNU/Linux:

https://security-tracker.debian.org/tracker/CVE-2023-2731

Для программных продуктов Red Hat Inc.:

https://access.redhat.com/security/cve/CVE-2023-2731

Для программных продуктов Novell Inc.:

https://www.suse.com/security/cve/CVE-2023-2731.html

Для ОСОН ОСнова Оnyx:

Обновление программного обеспечения tiff до версии 4.5.0-6+deb12u1.osnova2

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-2731
CVE

EPSS

Процентиль: 1%

0.0001

Низкий

5.5 Medium

CVSS3

4.9 Medium

CVSS2

Связанные уязвимости

CVE-2023-2731

CVSS3: 5.5

ubuntu

около 2 лет назад

A NULL pointer dereference flaw was found in Libtiff's LZWDecode() function in the libtiff/tif_lzw.c file. This flaw allows a local attacker to craft specific input data that can cause the program to dereference a NULL pointer when decompressing a TIFF format file, resulting in a program crash or denial of service.

CVE-2023-2731

CVSS3: 5.5

redhat

около 2 лет назад

CVE-2023-2731

CVSS3: 5.5

nvd

около 2 лет назад

CVE-2023-2731

CVSS3: 5.5

msrc

около 2 лет назад

Описание отсутствует

CVE-2023-2731

CVSS3: 5.5

debian

около 2 лет назад

A NULL pointer dereference flaw was found in Libtiff's LZWDecode() fun ...

EPSS

Процентиль: 1%

0.0001

Низкий

5.5 Medium

CVSS3

4.9 Medium

CVSS2