LibTIFF 4.0/4.0.1/4.0.2 TIFF File Name rgb2ycbcr.c buffer overflow
| CVSS Score de méta-température | Exploit Prix Actuel (≈) | Score d'intérêt CTI |
|---|---|---|
| 10.0 | $0-$5k | 0.00 |
Une vulnérabilité a été trouvé dans LibTIFF 4.0/4.0.1/4.0.2 (Image Processing Software) et classée critique. Affecté par ce problème est une fonction inconnue du fichier rgb2ycbcr.c du composant TIFF File Name Handler. La manipulation avec une valeur d'entrée inconnue mène à une vulnérabilité de classe buffer overflow.
La vulnerabilité a été publié en 01/08/2013 par Pedro Ribeiro avec le numéro d'identification Four (stack-based) buffer overflows and one use-after-free in libtiff v4.0.3 avec mailinglist post (oss-sec) (non défini). La notice d'information est disponible en téléchargement sur seclists.org Le fabricant n'était pas impliqué dans la coordination de la publication. Cette vulnérabilité a été nommée CVE-2013-4231. L'exploitation est considérée comme difficile. Il est possible d'initialiser l'attaque à distance. L'exploitation ne nécéssite aucune forme d'authentification. Les détails technniques sont connus, mais aucun exploite n'est disponible.
L'existence réelle de cette vulnérabilité est toujours mise en doute pour le moment. Le scanner de vulnérabilités Nessus propose un module ID 75146 (openSUSE Security Update : tiff (openSUSE-SU-2013:1482-1)), lequel aide à déterminer l'existence d'une faille dans l'environnement-cible.
Mettre à jour élimine cette vulnérabilité. Une solution envisageable a été publiée 2 mois après la publication de la vulnérabilité.
La vulnérabilité est aussi documentée dans la base de données Tenable (75146).
Produit
Taper
Nom
Licence
- open-source
CPE 2.3
CPE 2.2
CVSSv3
VulDB Score méta-base: 10.0VulDB Score de méta-température: 10.0
VulDB Note de base: 10.0
VulDB Note temporaire: 10.0
VulDB Vecteur: 🔍
VulDB Fiabilité: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vecteur | Complexité | Authentification | Confidentialité | Intégrité | Disponibilité |
|---|---|---|---|---|---|
| ouvrir | ouvrir | ouvrir | ouvrir | ouvrir | ouvrir |
| ouvrir | ouvrir | ouvrir | ouvrir | ouvrir | ouvrir |
| ouvrir | ouvrir | ouvrir | ouvrir | ouvrir | ouvrir |
VulDB Note de base: 🔍
VulDB Note temporaire: 🔍
VulDB Fiabilité: 🔍
NVD Note de base: 🔍
Exploiting
Classe: Buffer overflowCWE: CWE-119
ATT&CK: Inconnue
Localement: Non
Remote: Oui
Disponibilité: 🔍
Statut: Non défini
EPSS Score: 🔍
EPSS Percentile: 🔍
Prédiction de prix: 🔍
Estimation actuelle des prix: 🔍
| 0-Day | ouvrir | ouvrir | ouvrir | ouvrir |
|---|---|---|---|---|
| Aujourd'hui | ouvrir | ouvrir | ouvrir | ouvrir |
Nessus ID: 75146
Nessus Nom: openSUSE Security Update : tiff (openSUSE-SU-2013:1482-1)
Nessus Document: 🔍
Nessus Risque: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
Nessus Port: 🔍
OpenVAS ID: 892744
OpenVAS Nom: Debian Security Advisory DSA 2744-1 (tiff - several vulnerabilities
OpenVAS Document: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys Nom: 🔍
Renseignements sur les menaces
Intérêt: 🔍Acteurs actifs: 🔍
Groupes APT actifs: 🔍
Contre-mesures
Recommandé: UpgradeStatut: 🔍
Temps de réaction: 🔍
Heure 0 jour: 🔍
Temps d'exposition: 🔍
Chronologie
12/06/2013 🔍01/08/2013 🔍
01/08/2013 🔍
15/08/2013 🔍
13/09/2013 🔍
19/01/2014 🔍
13/06/2014 🔍
24/04/2019 🔍
Sources
Produit: libtiff.orgBulletin: Four (stack-based) buffer overflows and one use-after-free in libtiff v4.0.3
Chercheur: Pedro Ribeiro
Statut: Non défini
Confirmation: 🔍
Contesté: 🔍
CVE: CVE-2013-4231 (🔍)
OVAL: 🔍
SecurityFocus: 61695 - LibTIFF CVE-2013-4231 Multiple Buffer Overflow Vulnerabilities
Secunia: 54543 - Debian update for tiff, Moderately Critical
OSVDB: 96206
Divers: 🔍
Voir aussi: 🔍
Entrée
Établi: 15/08/2013 17:35Mise à jour: 24/04/2019 09:20
Changements: 15/08/2013 17:35 (81), 24/04/2019 09:20 (2)
Compléter: 🔍
Aucun commentaire pour l'instant. Langues: fr + en.
Veuillez vous connecter pour commenter.