BDU:2023-05409

Опубликовано: 21 окт. 2022

Источник: fstec

CVSS3: 6.5

CVSS2: 10

EPSS Низкий

Описание

Уязвимость функции _TIFFmemset библиотеки libtiff связана с записью за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Вендор

ООО «РусБИТех-Астра»

Red Hat Inc.

Сообщество свободного программного обеспечения

АО «ИВК»

АО "НППКТ"

АО «НТЦ ИТ РОСА»

Silicon Graphics Corp.

Наименование ПО

Astra Linux Special Edition

Red Hat Enterprise Linux

Debian GNU/Linux

Альт 8 СП

ОСОН ОСнова Оnyx

РОСА ХРОМ

LibTIFF

Версия ПО

1.6 «Смоленск» (Astra Linux Special Edition)

8 (Red Hat Enterprise Linux)

10 (Debian GNU/Linux)

11 (Debian GNU/Linux)

1.7 (Astra Linux Special Edition)

- (Альт 8 СП)

9 (Red Hat Enterprise Linux)

до 2.7 (ОСОН ОСнова Оnyx)

12.4 (РОСА ХРОМ)

до 4.4.0 включительно (LibTIFF)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»

Red Hat Inc. Red Hat Enterprise Linux 8

Сообщество свободного программного обеспечения Debian GNU/Linux 10

Сообщество свободного программного обеспечения Debian GNU/Linux 11

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7

АО «ИВК» Альт 8 СП -

Red Hat Inc. Red Hat Enterprise Linux 9

АО "НППКТ" ОСОН ОСнова Оnyx до 2.7

АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Для libtiff:

https://gitlab.com/libtiff/libtiff/-/commit/236b7191f04c60d09ee836ae13b50f812c841047

https://gitlab.com/libtiff/libtiff/-/issues/426

Для Debian GNU/Linux:

https://security-tracker.debian.org/tracker/CVE-2022-3626

Для программных продуктов Red Hat Inc.:

https://access.redhat.com/security/cve/CVE-2022-3626

Для Astra Linux 1.6 «Смоленск»:

обновить пакет tiff до 4.0.8-2+deb9u11 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16

Для ОСОН ОСнова Оnyx:

Обновление программного обеспечения tiff до версии 4.4.0-6

Для ОС Astra Linux Special Edition 1.7:

обновить пакет tiff до 4.1.0+git191117-2~deb10u7 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2627

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2022-3626
CVE

EPSS

Процентиль: 6%

0.00027

Низкий

6.5 Medium

CVSS3

10 Critical

CVSS2

Связанные уязвимости

CVE-2022-3626

CVSS3: 5.5

ubuntu

почти 3 года назад

LibTIFF 4.4.0 has an out-of-bounds write in _TIFFmemset in libtiff/tif_unix.c:340 when called from processCropSelections, tools/tiffcrop.c:7619, allowing attackers to cause a denial-of-service via a crafted tiff file. For users that compile libtiff from sources, the fix is available with commit 236b7191.

CVE-2022-3626

CVSS3: 6.5

redhat

около 3 лет назад

CVE-2022-3626

CVSS3: 5.5

nvd

почти 3 года назад

CVE-2022-3626

CVSS3: 6.5

msrc

почти 3 года назад

Описание отсутствует

CVE-2022-3626

CVSS3: 5.5

debian

почти 3 года назад

LibTIFF 4.4.0 has an out-of-bounds write in _TIFFmemset in libtiff/tif ...

EPSS

Процентиль: 6%

0.00027

Низкий

6.5 Medium

CVSS3

10 Critical

CVSS2