libpng 迄 1.5.13 Image libpng/pngset.c png_set_unknown_chunks リモートコード実行
| CVSS 一時的なメタスコア | 現在のエクスプロイト価格 (≈) | CTI注目指数 |
|---|---|---|
| 6.4 | $0-$5k | 0.00 |
要約
このたび、libpng 迄 1.5.13において、問題があるに分類される脆弱性が見つかりました。 この脆弱性により影響を受けるのは、コンポーネント【Image Handler】のファイル【libpng/pngset.c】に含まれる関数【png_set_unknown_chunks】です。 操作結果として リモートコード実行につながります。 この脆弱性はCVE-2013-7353という名称で流通しています。 影響を受けるコンポーネントのアップグレードを推奨します。
詳細
このたび、libpng 迄 1.5.13において、問題があるに分類される脆弱性が見つかりました。 この脆弱性により影響を受けるのは、コンポーネント【Image Handler】のファイル【libpng/pngset.c】に含まれる関数【png_set_unknown_chunks】です。 操作結果として リモートコード実行につながります。 CWEを用いて問題を定義すると、CWE-189 となります。 この弱点は 2014年04月10日に発表されました 、CVE-2013-7353 CVE-2013-7354 libpng integer overflowsとして 、Mailinglist Postとして (oss-sec)。 アドバイザリはseclists.orgにて共有されています。
この脆弱性はCVE-2013-7353という名称で流通しています。 CVEが2014年04月10日に割り当てられました。 テクニカルな情報があります。 この脆弱性の人気度は平均より低いです。 現時点で、エクスプロイトツールの価格はおそらく米ドルで約$0-$5kです。
0-dayの場合、推定されるアンダーグラウンドでの価格は約$0-$5kでした。 脆弱性スキャナーNessusは、IDが74210のプラグインを提供します。 SuSE Local Security Checks ファミリーに割り当てられています。 利用されるポートは 0になります。 商用脆弱性スキャナーQualysではプラグイン【 166976 (OpenSuSE Security Update for libpng12 (openSUSE-SU-2014:0604-1)) 】を使用してこの問題をテストできます。
バージョン 1.5.14beta08 をアップグレードすることで、この問題に対処できます。 更新版はsourceforge.netからダウンロードできます。 影響を受けるコンポーネントのアップグレードを推奨します。 脆弱性の公開後、すぐに 経過してから対策が公開されました。 アドバイザリには次のような記載があります:
The vendor mentions that internal calls use safe values. These issues could potentially affect applications that use the libpng API. Apparently no such applications were identified as part of the work on bug 199.
他の脆弱性データベースにも記載されている脆弱性です: SecurityFocus (BID 67345), X-Force (93127), Vulnerability Center (SBV-44550) , Tenable (74210).
製品
タイプ
名前
バージョン
ライセンス
CPE 2.3
CPE 2.2
CVSSv4
VulDB ベクトル: 🔍VulDB 信頼性: 🔍
CVSSv3
VulDB ベースメタスコア: 7.3VulDB 一時的なメタスコア: 6.4
VulDB ベーススコア: 7.3
VulDB 一時的なスコア: 6.4
VulDB ベクトル: 🔍
VulDB 信頼性: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| ベクトル | 複雑さ | 認証 | 機密性 | 完全性 | 可用性 |
|---|---|---|---|---|---|
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍
NVD ベーススコア: 🔍
悪用
クラス: リモートコード実行CWE: CWE-189
CAPEC: 🔍
ATT&CK: 🔍
物理的: いいえ
ローカル: いいえ
リモート: はい
可用性: 🔍
ステータス: 未実証
EPSS Score: 🔍
EPSS Percentile: 🔍
価格予測: 🔍
現在の価格評価: 🔍
| 0-Day | 解除 | 解除 | 解除 | 解除 |
|---|---|---|---|---|
| 本日 | 解除 | 解除 | 解除 | 解除 |
Nessus ID: 74210
Nessus 名前: SuSE 11.3 Security Update : libpng (SAT Patch Number 9170)
Nessus ファイル: 🔍
Nessus リスク: 🔍
Nessus ファミリー: 🔍
Nessus Port: 🔍
Qualys ID: 🔍
Qualys 名前: 🔍
脅威インテリジェンス
関心: 🔍アクティブアクター: 🔍
アクティブなAPTグループ: 🔍
対策
推奨: アップグレードステータス: 🔍
リアクション時間: 🔍
0day日時: 🔍
暴露時間: 🔍
アップグレード: libpng 1.5.14beta08
タイムライン
2014年04月10日 🔍2014年04月10日 🔍
2014年04月10日 🔍
2014年04月10日 🔍
2014年05月06日 🔍
2014年05月16日 🔍
2014年05月18日 🔍
2014年05月28日 🔍
2025年06月09日 🔍
ソース
勧告: CVE-2013-7353 CVE-2013-7354 libpng integer overflowsステータス: 確認済み
確認: 🔍
CVE: CVE-2013-7353 (🔍)
GCVE (CVE): GCVE-0-2013-7353
GCVE (VulDB): GCVE-100-13212
OVAL: 🔍
X-Force: 93127 - libpng png_set_unknown_chunks buffer overflow, Medium Risk
SecurityFocus: 67345
Vulnerability Center: 44550 - Libpng <1.5.14beta08 Remote DoS Vulnerability in the png_set_unknown_chunks Function, Medium
関連情報: 🔍
エントリ
作成済み: 2014年05月16日 16:01更新済み: 2025年06月09日 19:00
変更: 2014年05月16日 16:01 (77), 2017年05月28日 03:17 (1), 2021年06月19日 15:13 (3), 2025年06月09日 19:00 (16)
完了: 🔍
Cache ID: 216:F7C:103
コメントはまだありません。 言語: ja + en.
コメントするにはログインしてください。