BDU:2020-03212: Уязвимость функции TIFFWriteScanline библиотеки LibTIFF, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости Уязвимость функции TIFFWriteScanline библиотеки LibTIFF вызвана выходом операции за границы буфера. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании
Вендор Red Hat Inc., Canonical Ltd., Novell Inc., Silicon Graphics Corp.
Наименование ПО Red Hat Enterprise Linux, Ubuntu, OpenSUSE Leap, LibTIFF
Версия ПО
  • 7 (Red Hat Enterprise Linux)
  • 16.04 LTS (Ubuntu)
  • 42.3 (OpenSUSE Leap)
  • 18.10 (Ubuntu)
  • 12.04 ESM (Ubuntu)
  • 15.0 (OpenSUSE Leap)
  • 14.04 ESM (Ubuntu)
  • 18.04 LTS (Ubuntu)
  • 3.8.2 (LibTIFF)
Тип ПО Операционная система
Операционные системы и аппаратные платформы
  • Red Hat Inc. Red Hat Enterprise Linux 7
  • Canonical Ltd. Ubuntu 16.04 LTS
  • Novell Inc. OpenSUSE Leap 42.3
  • Canonical Ltd. Ubuntu 18.10
  • Canonical Ltd. Ubuntu 12.04 ESM
  • Novell Inc. OpenSUSE Leap 15.0
  • Canonical Ltd. Ubuntu 14.04 ESM
  • Canonical Ltd. Ubuntu 18.04 LTS
Тип ошибки Чтение за границами буфера
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 04.05.2018
Базовый вектор уязвимости
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для LibTIFF:
https://gitlab.com/libtiff/libtiff/commit/981e43ecae83935625c86c9118c0778c942c7048

Для Ubuntu:
https://usn.ubuntu.com/3906-1/
https://usn.ubuntu.com/3906-2/

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2018-10779/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2018-10779
Статус уязвимости Подтверждена производителем
Наличие эксплойта Существует в открытом доступе
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения