Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-03720

Опубликовано: 14 фев. 2023
Источник: fstec
CVSS3: 5.5
CVSS2: 4.9
EPSS Низкий

Описание

Уязвимость функции loadImage() (tools/tiffcrop.c) библиотеки LibTIFF связана с записью за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обсуживании с помощью специально сформированного изображения формата TIFF

Вендор

ООО «РусБИТех-Астра»
Novell Inc.
Сообщество свободного программного обеспечения
АО «ИВК»
Silicon Graphics Corp.
АО «НТЦ ИТ РОСА»
АО "НППКТ"

Наименование ПО

Astra Linux Special Edition
Suse Linux Enterprise Desktop
SUSE Linux Enterprise Server for SAP Applications
Debian GNU/Linux
Альт 8 СП
LibTIFF
РОСА ХРОМ
АЛЬТ СП 10
ОСОН ОСнова Оnyx

Версия ПО

1.6 «Смоленск» (Astra Linux Special Edition)
12 SP3 (Suse Linux Enterprise Desktop)
12 SP4 (Suse Linux Enterprise Desktop)
12 SP2 (SUSE Linux Enterprise Server for SAP Applications)
12 SP3 (SUSE Linux Enterprise Server for SAP Applications)
12 SP4 (SUSE Linux Enterprise Server for SAP Applications)
11 SP4 (SUSE Linux Enterprise Server for SAP Applications)
12 SP1 (SUSE Linux Enterprise Server for SAP Applications)
15 (SUSE Linux Enterprise Server for SAP Applications)
15 SP1 (SUSE Linux Enterprise Server for SAP Applications)
12 SP5 (SUSE Linux Enterprise Server for SAP Applications)
10 (Debian GNU/Linux)
12 SP2 (Suse Linux Enterprise Desktop)
12 SP1 (Suse Linux Enterprise Desktop)
12 (SUSE Linux Enterprise Server for SAP Applications)
11 SP4 (Suse Linux Enterprise Desktop)
12 (Suse Linux Enterprise Desktop)
11 (Debian GNU/Linux)
1.7 (Astra Linux Special Edition)
15 SP3 (SUSE Linux Enterprise Server for SAP Applications)
15 SP3 (Suse Linux Enterprise Desktop)
15 SP2 (SUSE Linux Enterprise Server for SAP Applications)
- (Альт 8 СП)
15 SP2 (Suse Linux Enterprise Desktop)
15 SP4 (Suse Linux Enterprise Desktop)
15 SP4 (SUSE Linux Enterprise Server for SAP Applications)
15 SP1 (Suse Linux Enterprise Desktop)
15 (Suse Linux Enterprise Desktop)
4.7 (Astra Linux Special Edition)
15 SP5 (SUSE Linux Enterprise Server for SAP Applications)
15 SP5 (Suse Linux Enterprise Desktop)
до 4.5.0 включительно (LibTIFF)
12.4 (РОСА ХРОМ)
- (АЛЬТ СП 10)
до 2.12 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Novell Inc. Suse Linux Enterprise Desktop 12 SP3
Novell Inc. Suse Linux Enterprise Desktop 12 SP4
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 11 SP4
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP1
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP1
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Novell Inc. Suse Linux Enterprise Desktop 12 SP2
Novell Inc. Suse Linux Enterprise Desktop 12 SP1
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12
Novell Inc. Suse Linux Enterprise Desktop 11 SP4
Novell Inc. Suse Linux Enterprise Desktop 12
Сообщество свободного программного обеспечения Debian GNU/Linux 11
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP3
Novell Inc. Suse Linux Enterprise Desktop 15 SP3
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP2
АО «ИВК» Альт 8 СП -
Novell Inc. Suse Linux Enterprise Desktop 15 SP2
Novell Inc. Suse Linux Enterprise Desktop 15 SP4
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP4
Novell Inc. Suse Linux Enterprise Desktop 15 SP1
Novell Inc. Suse Linux Enterprise Desktop 15
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP5
Novell Inc. Suse Linux Enterprise Desktop 15 SP5
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4
АО «ИВК» АЛЬТ СП 10 -
АО "НППКТ" ОСОН ОСнова Оnyx до 2.12

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,9)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,5)

Возможные меры по устранению уязвимости

Обновление программного обеспечения до версии 4.5.1 или выше
Использование рекомендаций:
Для LibTIFF:
https://gitlab.com/libtiff/libtiff/-/merge_requests/472
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-26965
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2023-26965.html
Для ОС Astra Linux Special Edition 1.7:
обновить пакет tiff до 4.1.0+git191117-2~deb10u8 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17
Для Astra Linux 1.6 «Смоленск»:
обновить пакет tiff до 4.0.8-2+deb9u11 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16
Для Astra Linux Special Edition 4.7:
обновить пакет tiff до 4.1.0+git191117-2~deb10u8 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2627
Обновление программного обеспечения tiff до версии 4.5.0-6+deb12u1.osnova2u1
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/
Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 0%
0.00008
Низкий

5.5 Medium

CVSS3

4.9 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2023-26965

CVSS3: 5.5
ubuntu
около 2 лет назад

loadImage() in tools/tiffcrop.c in LibTIFF through 4.5.0 has a heap-based use after free via a crafted TIFF image.

redhat логотип

CVE-2023-26965

CVSS3: 5.5
redhat
около 2 лет назад

loadImage() in tools/tiffcrop.c in LibTIFF through 4.5.0 has a heap-based use after free via a crafted TIFF image.

nvd логотип

CVE-2023-26965

CVSS3: 5.5
nvd
около 2 лет назад

loadImage() in tools/tiffcrop.c in LibTIFF through 4.5.0 has a heap-based use after free via a crafted TIFF image.

msrc логотип

CVE-2023-26965

CVSS3: 5.5
msrc
около 2 лет назад

Описание отсутствует

debian логотип

CVE-2023-26965

CVSS3: 5.5
debian
около 2 лет назад

loadImage() in tools/tiffcrop.c in LibTIFF through 4.5.0 has a heap-ba ...

EPSS

Процентиль: 0%
0.00008
Низкий

5.5 Medium

CVSS3

4.9 Medium

CVSS2

Уязвимость BDU:2023-03720