LibTIFF 4.4.0 TIFF File libtiff/tif_unix.c _TIFFmemset Pufferüberlauf
CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
---|---|---|
6.0 | $0-$5k | 0.00 |
In LibTIFF 4.4.0 (Image Processing Software) wurde eine Schwachstelle ausgemacht. Sie wurde als kritisch eingestuft. Das betrifft die Funktion _TIFFmemset
der Datei libtiff/tif_unix.c der Komponente TIFF File Handler. Durch das Manipulieren mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-787. Die genauen Auswirkungen eines erfolgreichen Angriffs sind bisher nicht bekannt. CVE fasst zusammen:
LibTIFF 4.4.0 has an out-of-bounds write in _TIFFmemset in libtiff/tif_unix.c:340 when called from processCropSelections, tools/tiffcrop.c:7619, allowing attackers to cause a denial-of-service via a crafted tiff file. For users that compile libtiff from sources, the fix is available with commit 236b7191.
Die Schwachstelle wurde am 21.10.2022 als 426 an die Öffentlichkeit getragen. Auf gitlab.com kann das Advisory eingesehen werden. Eine eindeutige Identifikation der Schwachstelle wird seit dem 21.10.2022 mit CVE-2022-3626 vorgenommen. Es wird vorausgesetzt, dass das Opfer eine spezifische Handlung vornimmt. Technische Details sind bekannt, ein verfügbarer Exploit hingegen nicht.
Die Schwachstelle lässt sich durch das Einspielen des Patches 236b7191f04c60d09ee836ae13b50f812c841047 beheben. Dieser kann von gitlab.com bezogen werden.
Mit dieser Schwachstelle verwandte Einträge finden sich unter VDB-99891, VDB-193614, VDB-204153 und VDB-206463.
Produkt
Typ
Name
Version
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.1VulDB Meta Temp Score: 6.0
VulDB Base Score: 6.3
VulDB Temp Score: 6.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 6.5
NVD Vector: 🔍
CNA Base Score: 5.5
CNA Vector (GitLab Inc.): 🔍
CVSSv2
AV | AC | Au | C | I | A |
---|---|---|---|---|---|
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
---|---|---|---|---|---|
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: PufferüberlaufCWE: CWE-787 / CWE-119
CAPEC: 🔍
ATT&CK: 🔍
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
0-Day | freischalten | freischalten | freischalten | freischalten |
---|---|---|---|---|
Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: PatchStatus: 🔍
0-Day Time: 🔍
Patch: 236b7191f04c60d09ee836ae13b50f812c841047
Timeline
21.10.2022 🔍21.10.2022 🔍
21.10.2022 🔍
19.11.2022 🔍
Quellen
Produkt: libtiff.orgAdvisory: 426
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2022-3626 (🔍)
Siehe auch: 🔍
Eintrag
Erstellt: 21.10.2022 21:15Aktualisierung: 19.11.2022 10:19
Anpassungen: 21.10.2022 21:15 (45), 19.11.2022 10:19 (20)
Komplett: 🔍
Cache ID: 18:8DF:103
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.