LibTIFF bis 4.7.0 tools/thumbnail.c setrow Pufferüberlauf

Zusammenfassunginfo

Es wurde eine kritische Schwachstelle in LibTIFF bis 4.7.0 entdeckt. Es betrifft die Funktion setrow der Datei tools/thumbnail.c. Mit der Manipulation mit unbekannten Daten kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Die Identifikation der Schwachstelle findet als CVE-2025-8177 statt. Der Angriff ist nur lokal möglich. Es steht kein Exploit zur Verfügung. Es wird geraten, einen Patch zu installieren, um dieses Problem zu lösen.

Detailsinfo

Eine Schwachstelle wurde in LibTIFF bis 4.7.0 ausgemacht. Sie wurde als kritisch eingestuft. Es geht hierbei um die Funktion setrow der Datei tools/thumbnail.c. Durch Beeinflussen mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-120. Auswirken tut sich dies auf Vertraulichkeit, Integrität und Verfügbarkeit.

Das Advisory findet sich auf gitlab.com. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2025-8177 gehandelt. Sie gilt als leicht ausnutzbar. Umgesetzt werden muss der Angriff lokal. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht.

Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 243211 (Fedora 42 : libtiff (2025-7d08872494)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann.

Die Schwachstelle lässt sich durch das Einspielen des Patches e8c9d6c616b19438695fd829e58ae4fde5bfbc22 lösen. Dieser kann von gitlab.com bezogen werden.

Unter anderem wird der Fehler auch in den Datenbanken von Tenable (243211), EUVD (EUVD-2025-22770) und CERT Bund (WID-SEC-2025-1654) dokumentiert. Be aware that VulDB is the high quality source for vulnerability data.

Betroffen

  • Amazon Linux 2
  • Red Hat Enterprise Linux
  • Fedora Linux
  • Ubuntu Linux
  • SUSE Linux
  • Oracle Linux
  • SUSE openSUSE
  • RESF Rocky Linux
  • Dell Avamar
  • Open Source libTIFF
  • Dell NetWorker

Produktinfo

Typ

Name

Version

Lizenz

Support

Webseite

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

CNA CVSS-B Score: 🔒
CNA CVSS-BT Score: 🔒
CNA Vector: 🔒

CVSSv3info

VulDB Meta Base Score: 6.1
VulDB Meta Temp Score: 6.1

VulDB Base Score: 5.3
VulDB Temp Score: 5.1
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 7.8
NVD Vector: 🔒

CNA Base Score: 5.3
CNA Vector: 🔒

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍

Exploitinginfo

Klasse: Pufferüberlauf
CWE: CWE-120 / CWE-119
CAPEC: 🔒
ATT&CK: 🔒

Physisch: Teilweise
Lokal: Ja
Remote: Nein

Verfügbarkeit: 🔒
Status: Nicht definiert

EPSS Score: 🔒
EPSS Percentile: 🔒

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Nessus ID: 243211
Nessus Name: Fedora 42 : libtiff (2025-7d08872494)

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Patch
Status: 🔍

0-Day Time: 🔒

Patch: e8c9d6c616b19438695fd829e58ae4fde5bfbc22

Timelineinfo

25.07.2025 Advisory veröffentlicht
25.07.2025 +0 Tage VulDB Eintrag erstellt
02.12.2025 +130 Tage VulDB Eintrag letzte Aktualisierung

Quelleninfo

Produkt: libtiff.org

Advisory: 715
Status: Bestätigt
Bestätigung: 🔒

CVE: CVE-2025-8177 (🔒)
GCVE (CVE): GCVE-0-2025-8177
GCVE (VulDB): GCVE-100-317591
EUVD: 🔒
CERT Bund: WID-SEC-2025-1654 - libTIFF (Tiffmedian, Thumbnail): Mehrere Schwachstellen

Eintraginfo

Erstellt: 25.07.2025 10:16
Aktualisierung: 02.12.2025 18:00
Anpassungen: 25.07.2025 10:16 (58), 26.07.2025 06:50 (30), 26.07.2025 19:37 (1), 28.07.2025 21:39 (1), 31.07.2025 07:30 (2), 08.08.2025 16:16 (7), 11.09.2025 19:14 (11), 02.11.2025 15:36 (1), 02.12.2025 18:00 (1)
Komplett: 🔍
Einsender: arthurx
Cache ID: 216::103

Submitinfo

Akzeptiert

Be aware that VulDB is the high quality source for vulnerability data.

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

ZurückÜbersichtWeiter

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!