Описание
Уязвимость функции loadImage() (tools/tiffcrop.c) библиотеки LibTIFF связана с записью за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обсуживании с помощью специально сформированного изображения формата TIFF
Вендор
ООО «РусБИТех-Астра»
Novell Inc.
Сообщество свободного программного обеспечения
АО «ИВК»
Silicon Graphics Corp.
АО «НТЦ ИТ РОСА»
АО "НППКТ"
Наименование ПО
Astra Linux Special Edition
Suse Linux Enterprise Desktop
SUSE Linux Enterprise Server for SAP Applications
Debian GNU/Linux
Альт 8 СП
LibTIFF
РОСА ХРОМ
АЛЬТ СП 10
ОСОН ОСнова Оnyx
Версия ПО
1.6 «Смоленск» (Astra Linux Special Edition)
12 SP3 (Suse Linux Enterprise Desktop)
12 SP4 (Suse Linux Enterprise Desktop)
12 SP2 (SUSE Linux Enterprise Server for SAP Applications)
12 SP3 (SUSE Linux Enterprise Server for SAP Applications)
12 SP4 (SUSE Linux Enterprise Server for SAP Applications)
11 SP4 (SUSE Linux Enterprise Server for SAP Applications)
12 SP1 (SUSE Linux Enterprise Server for SAP Applications)
15 (SUSE Linux Enterprise Server for SAP Applications)
15 SP1 (SUSE Linux Enterprise Server for SAP Applications)
12 SP5 (SUSE Linux Enterprise Server for SAP Applications)
10 (Debian GNU/Linux)
12 SP2 (Suse Linux Enterprise Desktop)
12 SP1 (Suse Linux Enterprise Desktop)
12 (SUSE Linux Enterprise Server for SAP Applications)
11 SP4 (Suse Linux Enterprise Desktop)
12 (Suse Linux Enterprise Desktop)
11 (Debian GNU/Linux)
1.7 (Astra Linux Special Edition)
15 SP3 (SUSE Linux Enterprise Server for SAP Applications)
15 SP3 (Suse Linux Enterprise Desktop)
15 SP2 (SUSE Linux Enterprise Server for SAP Applications)
- (Альт 8 СП)
15 SP2 (Suse Linux Enterprise Desktop)
15 SP4 (Suse Linux Enterprise Desktop)
15 SP4 (SUSE Linux Enterprise Server for SAP Applications)
15 SP1 (Suse Linux Enterprise Desktop)
15 (Suse Linux Enterprise Desktop)
4.7 (Astra Linux Special Edition)
15 SP5 (SUSE Linux Enterprise Server for SAP Applications)
15 SP5 (Suse Linux Enterprise Desktop)
до 4.5.0 включительно (LibTIFF)
12.4 (РОСА ХРОМ)
- (АЛЬТ СП 10)
1.8 (Astra Linux Special Edition)
до 2.12 (ОСОН ОСнова Оnyx)
Тип ПО
Операционная система
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Novell Inc. Suse Linux Enterprise Desktop 12 SP3
Novell Inc. Suse Linux Enterprise Desktop 12 SP4
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 11 SP4
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP1
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP1
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Novell Inc. Suse Linux Enterprise Desktop 12 SP2
Novell Inc. Suse Linux Enterprise Desktop 12 SP1
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12
Novell Inc. Suse Linux Enterprise Desktop 11 SP4
Novell Inc. Suse Linux Enterprise Desktop 12
Сообщество свободного программного обеспечения Debian GNU/Linux 11
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP3
Novell Inc. Suse Linux Enterprise Desktop 15 SP3
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP2
АО «ИВК» Альт 8 СП -
Novell Inc. Suse Linux Enterprise Desktop 15 SP2
Novell Inc. Suse Linux Enterprise Desktop 15 SP4
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP4
Novell Inc. Suse Linux Enterprise Desktop 15 SP1
Novell Inc. Suse Linux Enterprise Desktop 15
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP5
Novell Inc. Suse Linux Enterprise Desktop 15 SP5
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4
АО «ИВК» АЛЬТ СП 10 -
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8
АО "НППКТ" ОСОН ОСнова Оnyx до 2.12
Уровень опасности уязвимости
Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,9)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,5)
Возможные меры по устранению уязвимости
Обновление программного обеспечения до версии 4.5.1 или выше
Использование рекомендаций:
Для LibTIFF:
https://gitlab.com/libtiff/libtiff/-/merge_requests/472
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-26965
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2023-26965.html
Для ОС Astra Linux Special Edition 1.7:
обновить пакет tiff до 4.1.0+git191117-2~deb10u8 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17
Для Astra Linux 1.6 «Смоленск»:
обновить пакет tiff до 4.0.8-2+deb9u11 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16
Для Astra Linux Special Edition 4.7:
обновить пакет tiff до 4.1.0+git191117-2~deb10u8 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2627
Обновление программного обеспечения tiff до версии 4.5.0-6+deb12u1.osnova2u1
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/
Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/
Для ОС Astra Linux:
обновить пакет tiff до 4.5.0-6+deb12u2.astra2+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0811SE18
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует в открытом доступе
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 1%
0.00009
Низкий
5.5 Medium
CVSS3
4.9 Medium
CVSS2
Связанные уязвимости
CVSS3: 5.5
ubuntu
больше 2 лет назад
loadImage() in tools/tiffcrop.c in LibTIFF through 4.5.0 has a heap-based use after free via a crafted TIFF image.
CVSS3: 5.5
redhat
больше 2 лет назад
loadImage() in tools/tiffcrop.c in LibTIFF through 4.5.0 has a heap-based use after free via a crafted TIFF image.
CVSS3: 5.5
nvd
больше 2 лет назад
loadImage() in tools/tiffcrop.c in LibTIFF through 4.5.0 has a heap-based use after free via a crafted TIFF image.
CVSS3: 5.5
msrc
больше 2 лет назад
loadImage() in tools/tiffcrop.c in LibTIFF through 4.5.0 has a heap-based use after free via a crafted TIFF image.
CVSS3: 5.5
debian
больше 2 лет назад
loadImage() in tools/tiffcrop.c in LibTIFF through 4.5.0 has a heap-ba ...
EPSS
Процентиль: 1%
0.00009
Низкий
5.5 Medium
CVSS3
4.9 Medium
CVSS2