LibTIFF 4.0.6 TIFF Image tif_getimage.c SamplesPerPixel buffer overflow
| CVSS Punteggio meta temporaneo | Prezzo attuale dell'exploit (≈) | Punteggio di interesse CTI |
|---|---|---|
| 5.4 | $0-$5k | 0.00 |
Riassunto
È stata individuata una vulnerabilità classificata come problematico in LibTIFF 4.0.6. Da questa vulnerabilità è interessato una funzione sconosciuta del file tif_getimage.c del componente TIFF Image Handler. Attraverso l'influenza del parametro SamplesPerPixel di un input sconosciuto per mezzo di una vulerabilità di classe buffer overflow. Questa vulnerabilità è conosciuta come CVE-2015-8665. L'attacco deve essere fatto localmente. Nessun exploit disponibile. Si consiglia di aggiornare il componente interessato.
Dettagli
È stata rilevata una vulnerabilità di livello problematico in LibTIFF 4.0.6 (Image Processing Software). É interessato una funzione sconosciuta del file tif_getimage.c del componente TIFF Image Handler. La manipolazione del parametro SamplesPerPixel di un input sconosciuto per mezzo di una vulerabilità di classe buffer overflow. Gli effetti sono noti per la disponibilità.
La vulnerabilità è stata pubblicata in data 13/04/2016 da Qihoo 360 (Website) (non definito). L'advisory è scaricabile da openwall.com. Questo punto di criticità è identificato come CVE-2015-8665. Dalla rete può partire l'attacco. Per l'uso non è richiesta un'autentificazione. Nessun metodo di utilizzo sui dettagli tecnici disponibili.
Per lo scanned Nessus, è disponibile un plugin, numero ID 88387 (Debian DLA-402-1 : tiff security update), che può aiutare a determinare l'esistenza della criticità nel sistema analizzato.
L'aggiornamento elimina questa vulnerabilità. Una possibile soluzione è stata pubblicata già prima e non dopo la pubblicazione della vulnerabilità.
La vulnerabilità è documentata anche nel database Tenable (88387) e SecurityFocus (BID 79728†). Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Prodotto
Genere
Nome
Versione
Licenza
Sito web
- Prodotto: http://www.libtiff.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vettore: 🔍VulDB Affidabilità: 🔍
CVSSv3
VulDB Punteggio meta-base: 5.5VulDB Punteggio meta temporaneo: 5.4
VulDB Punteggio di base: 5.5
VulDB Punteggio temporaneo: 5.3
VulDB Vettore: 🔍
VulDB Affidabilità: 🔍
NVD Punteggio di base: 5.5
NVD Vettore: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vettore | Complessità | Autenticazione | Riservatezza | Integrità | Disponibilità |
|---|---|---|---|---|---|
| Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
| Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
| Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
VulDB Punteggio di base: 🔍
VulDB Punteggio temporaneo: 🔍
VulDB Affidabilità: 🔍
NVD Punteggio di base: 🔍
Sfruttamento
Classe: Buffer overflowCWE: CWE-119
CAPEC: 🔍
ATT&CK: 🔍
Fisico: Parzialmente
Locale: Si
Remoto: Si
Disponibilità: 🔍
Stato: Non definito
EPSS Score: 🔍
EPSS Percentile: 🔍
Previsione dei prezzi: 🔍
Preventivo attuale: 🔍
| 0-Day | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
|---|---|---|---|---|
| Oggi | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
Nessus ID: 88387
Nessus Nome: Debian DLA-402-1 : tiff security update
Nessus File: 🔍
Nessus Rischio: 🔍
Nessus Famiglia: 🔍
Nessus Context: 🔍
OpenVAS ID: 703467
OpenVAS Nome: Debian Security Advisory DSA 3467-1 (tiff - security update)
OpenVAS File: 🔍
OpenVAS Famiglia: 🔍
Qualys ID: 🔍
Qualys Nome: 🔍
Intelligence sulle minacce
Interesse: 🔍Attori attivi: 🔍
Gruppi APT attivi: 🔍
Contromisure
Raccomandazione: AggiornamentoStato: 🔍
Tempo 0 giorni: 🔍
Sequenza temporale
22/12/2015 🔍23/12/2015 🔍
25/01/2016 🔍
26/01/2016 🔍
13/04/2016 🔍
13/04/2016 🔍
14/04/2016 🔍
24/07/2022 🔍
Fonti
Prodotto: libtiff.orgAvis: USN-2939-1
Organizzazione: Qihoo 360
Stato: Non definito
Conferma: 🔍
CVE: CVE-2015-8665 (🔍)
GCVE (CVE): GCVE-0-2015-8665
GCVE (VulDB): GCVE-100-82315
SecurityFocus: 79728 - LibTIFF CVE-2015-8665 Out Of Bounds Read Denial of Service Vulnerability
SecurityTracker: 1035508
Vedi anche: 🔍
Voce
Data di creazione: 14/04/2016 09:56Aggiornato: 24/07/2022 09:55
Cambiamenti: 14/04/2016 09:56 (54), 05/10/2018 07:52 (25), 24/07/2022 09:50 (5), 24/07/2022 09:55 (1)
Completa: 🔍
Cache ID: 216::103
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Ancora nessun commento. Lingue: it + ro + en.
Effettua il login per commentare.