Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-05288

Опубликовано: 29 июн. 2023
Источник: fstec
CVSS3: 5.5
CVSS2: 4.9
EPSS Низкий

Описание

Уязвимость функции rotateimage() библиотеки LibTIFF вызвана переполнением буфера на стеке. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании

Вендор

Red Hat Inc.
ООО «РусБИТех-Астра»
Canonical Ltd.
Сообщество свободного программного обеспечения
АО «НТЦ ИТ РОСА»
Silicon Graphics Corp.
АО "НППКТ"

Наименование ПО

Red Hat Enterprise Linux
Astra Linux Special Edition
Ubuntu
Debian GNU/Linux
ROSA Virtualization
LibTIFF
ROSA Virtualization 3.0
ОСОН ОСнова Оnyx

Версия ПО

6 (Red Hat Enterprise Linux)
7 (Red Hat Enterprise Linux)
1.6 «Смоленск» (Astra Linux Special Edition)
8 (Red Hat Enterprise Linux)
14.04 ESM (Ubuntu)
10 (Debian GNU/Linux)
20.04 LTS (Ubuntu)
16.04 ESM (Ubuntu)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
1.7 (Astra Linux Special Edition)
22.04 LTS (Ubuntu)
4.7 (Astra Linux Special Edition)
2.1 (ROSA Virtualization)
18.04 ESM (Ubuntu)
23.04 (Ubuntu)
4.5.0 (LibTIFF)
3.0 (ROSA Virtualization 3.0)
до 2.12 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 6
Red Hat Inc. Red Hat Enterprise Linux 7
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Red Hat Inc. Red Hat Enterprise Linux 8
Canonical Ltd. Ubuntu 14.04 ESM
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Canonical Ltd. Ubuntu 20.04 LTS
Canonical Ltd. Ubuntu 16.04 ESM
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
Canonical Ltd. Ubuntu 22.04 LTS
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1
Canonical Ltd. Ubuntu 18.04 ESM
Canonical Ltd. Ubuntu 23.04
АО «НТЦ ИТ РОСА» ROSA Virtualization 3.0 3.0
АО "НППКТ" ОСОН ОСнова Оnyx до 2.12

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,9)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для libtiff:
https://gitlab.com/libtiff/libtiff/-/issues/520
https://gitlab.com/libtiff/libtiff/-/commit/9c22495e5eeeae9e00a1596720c969656bb8d678
https://gitlab.com/libtiff/libtiff/-/commit/688012dca2c39033aa2dc7bcea9796787cfd1b44
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-25433
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2023-25433
Для Ubuntu:
https://ubuntu.com/security/notices/USN-6290-1
https://ubuntu.com/security/notices/USN-6229-1
Для ОС Astra Linux Special Edition 1.7:
обновить пакет tiff до 4.1.0+git191117-2~deb10u8 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17
Для Astra Linux 1.6 «Смоленск»:
обновить пакет tiff до 4.0.8-2+deb9u11 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16
Для Astra Linux Special Edition 4.7:
обновить пакет tiff до 4.1.0+git191117-2~deb10u8 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47
Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2750
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2725
Обновление программного обеспечения tiff до версии 4.5.0-6+deb12u1.osnova2u1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 6%
0.00026
Низкий

5.5 Medium

CVSS3

4.9 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2023-25433

CVSS3: 5.5
ubuntu
почти 2 года назад

libtiff 4.5.0 is vulnerable to Buffer Overflow via /libtiff/tools/tiffcrop.c:8499. Incorrect updating of buffer size after rotateImage() in tiffcrop cause heap-buffer-overflow and SEGV.

redhat логотип

CVE-2023-25433

CVSS3: 5.5
redhat
больше 2 лет назад

libtiff 4.5.0 is vulnerable to Buffer Overflow via /libtiff/tools/tiffcrop.c:8499. Incorrect updating of buffer size after rotateImage() in tiffcrop cause heap-buffer-overflow and SEGV.

nvd логотип

CVE-2023-25433

CVSS3: 5.5
nvd
почти 2 года назад

libtiff 4.5.0 is vulnerable to Buffer Overflow via /libtiff/tools/tiffcrop.c:8499. Incorrect updating of buffer size after rotateImage() in tiffcrop cause heap-buffer-overflow and SEGV.

msrc логотип

CVE-2023-25433

CVSS3: 5.5
msrc
почти 2 года назад

Описание отсутствует

debian логотип

CVE-2023-25433

CVSS3: 5.5
debian
почти 2 года назад

libtiff 4.5.0 is vulnerable to Buffer Overflow via /libtiff/tools/tiff ...

EPSS

Процентиль: 6%
0.00026
Низкий

5.5 Medium

CVSS3

4.9 Medium

CVSS2