BDU:2023-05401

Опубликовано: 03 мар. 2023

Источник: fstec

CVSS3: 5.5

CVSS2: 4.6

EPSS Низкий

Описание

Уязвимость утилиты tiffcrop (tools/tiffcp.c:948) библиотеки libtiff связана с чтением за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании

Вендор

Red Hat Inc.

Сообщество свободного программного обеспечения

АО «ИВК»

Fedora Project

АО «НТЦ ИТ РОСА»

Silicon Graphics Corp.

Наименование ПО

Red Hat Enterprise Linux

Debian GNU/Linux

Альт 8 СП

Fedora

РОСА ХРОМ

LibTIFF

АЛЬТ СП 10

Версия ПО

8 (Red Hat Enterprise Linux)

10 (Debian GNU/Linux)

11 (Debian GNU/Linux)

- (Альт 8 СП)

36 (Fedora)

9 (Red Hat Enterprise Linux)

37 (Fedora)

38 (Fedora)

12.4 (РОСА ХРОМ)

до 4.4.0 включительно (LibTIFF)

- (АЛЬТ СП 10)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 8

Сообщество свободного программного обеспечения Debian GNU/Linux 10

Сообщество свободного программного обеспечения Debian GNU/Linux 11

АО «ИВК» Альт 8 СП -

Fedora Project Fedora 36

Red Hat Inc. Red Hat Enterprise Linux 9

Fedora Project Fedora 37

Fedora Project Fedora 38

АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4

АО «ИВК» АЛЬТ СП 10 -

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Для libtiff:

https://gitlab.com/libtiff/libtiff/-/commit/e813112545942107551433d61afd16ac094ff246

https://gitlab.com/libtiff/libtiff/-/issues/277

Для Debian GNU/Linux:

https://security-tracker.debian.org/tracker/CVE-2022-4645

Для программных продуктов Red Hat Inc.:

https://access.redhat.com/security/cve/CVE-2022-4645

Для Fedora:

https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/2ZTFA6GGOKFPIQNHDBMXYUR4XUXUJESE/

https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BA6GRCAQ7NR2OK5N44UQRGUJBIYKWJJH/

https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/OLM763GGZVVOAXIQXG6YGTYJ5VFYNECQ/

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2657

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2627

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2022-4645
CVE

EPSS

Процентиль: 1%

0.0001

Низкий

5.5 Medium

CVSS3

4.6 Medium

CVSS2

Связанные уязвимости

CVE-2022-4645

CVSS3: 6.8

ubuntu

больше 2 лет назад

LibTIFF 4.4.0 has an out-of-bounds read in tiffcp in tools/tiffcp.c:948, allowing attackers to cause a denial-of-service via a crafted tiff file. For users that compile libtiff from sources, the fix is available with commit e8131125.

CVE-2022-4645

CVSS3: 5.6

redhat

больше 2 лет назад

CVE-2022-4645

CVSS3: 6.8

nvd

больше 2 лет назад

CVE-2022-4645

CVSS3: 5.5

msrc

больше 2 лет назад

Описание отсутствует

CVE-2022-4645

CVSS3: 6.8

debian

больше 2 лет назад

LibTIFF 4.4.0 has an out-of-bounds read in tiffcp in tools/tiffcp.c:94 ...

EPSS

Процентиль: 1%

0.0001

Низкий

5.5 Medium

CVSS3

4.6 Medium

CVSS2