LibTIFF до 4.0.6 rgb2ycbcr cvtClump -v-/1 повреждение памяти

CVSS Meta Temp ScoreТекущая цена эксплойта (≈)Балл интереса CTI
8.5$0-$5k0.00

СводкаИнформация

Зафиксирована уязвимость, классифицируемая как проблематичный, в LibTIFF до 4.0.6. Неизвестная функция компонента rgb2ycbcr затронута. Осуществление манипуляции над аргументом -v-/1 приводит к повреждение памяти. Эта уязвимость проходит под номером CVE-2016-3624. Атака может быть инициирована удаленно. Эксплойт недоступен. Рекомендуется выполнить обновление уязвимого компонента.

ПодробностиИнформация

Зафиксирована уязвимость, классифицируемая как проблематичный, в LibTIFF до 4.0.6. Неизвестная функция компонента rgb2ycbcr затронута. Осуществление манипуляции над аргументом -v-/1 приводит к повреждение памяти. Определение CWE для уязвимости следующее CWE-787. Информация о слабости была опубликована 03.10.2016 автором Security Team совместно с Qihoo 360 (Веб-сайт). Уведомление опубликовано для скачивания на bugzilla.maptools.org.

Эта уязвимость проходит под номером CVE-2016-3624. Присвоение CVE было выполнено 21.03.2016. Атака может быть инициирована удаленно. Технические детали доступны. Уровень популярности этой уязвимости ниже среднего значения. Эксплойт недоступен. На текущий момент стоимость эксплойта может быть примерно USD $0-$5k.

Это объявлено как Не определено. Мы ожидаем, что 0-день стоил приблизительно $0-$5k. Сканер уязвимостей Nessus содержит плагин с ID 96704. Это относится к семейству Debian Local Security Checks. Этот плагин выполняется в контексте типа l. Коммерческий сканер уязвимостей Qualys способен проверить эту проблему с помощью плагина 175938 (Debian Security Update for tiff (DSA 3762-1)).

Рекомендуется выполнить обновление уязвимого компонента. Потенциальная мера по устранению была доступна спустя 4 месяцы после публикации информации об уязвимости.

Информация об уязвимости также содержится в других базах данных уязвимостей: SecurityFocus (BID 85956) и Tenable (96704).

ПродуктИнформация

Тип

Имя

Версия

Лицензия

Веб-сайт

CPE 2.3Информация

CPE 2.2Информация

CVSSv4Информация

VulDB Вектор: 🔍
VulDB Надёжность: 🔍

CVSSv3Информация

VulDB Meta Base Score: 8.7
VulDB Meta Temp Score: 8.5

VulDB Базовый балл: 9.8
VulDB Временная оценка: 9.4
VulDB Вектор: 🔍
VulDB Надёжность: 🔍

NVD Базовый балл: 7.5
NVD Вектор: 🔍

CVSSv2Информация

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
ВекторСложностьАутентификацияКонфиденциальностьЦелостностьДоступность
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать

VulDB Базовый балл: 🔍
VulDB Временная оценка: 🔍
VulDB Надёжность: 🔍

NVD Базовый балл: 🔍

ЭксплуатацияИнформация

Класс: повреждение памяти
CWE: CWE-787 / CWE-119
CAPEC: 🔍
ATT&CK: 🔍

Физический: Нет
Локальный: Нет
Удалённый: Да

Доступность: 🔍
Статус: Не определено

EPSS Score: 🔍
EPSS Percentile: 🔍

Прогноз цен: 🔍
Оценка текущей цены: 🔍

0-DayРазблокироватьРазблокироватьРазблокироватьРазблокировать
СегодняРазблокироватьРазблокироватьРазблокироватьРазблокировать

Nessus ID: 96704
Nessus Имя: Debian DLA-795-1 : tiff security update
Nessus Файл: 🔍
Nessus Риск: 🔍
Nessus Семейство: 🔍
Nessus Context: 🔍

OpenVAS ID: 703762
OpenVAS Имя: Debian Security Advisory DSA 3762-1 (tiff - security update)
OpenVAS Файл: 🔍
OpenVAS Семейство: 🔍

Qualys ID: 🔍
Qualys Имя: 🔍

Разведка угрозИнформация

Интерес: 🔍
Активные акторы: 🔍
Активные группы APT: 🔍

КонтрмерыИнформация

Рекомендация: Обновление
Статус: 🔍

Время реакции: 🔍
0-дневное время: 🔍
Время экспозиции: 🔍

ХронологияИнформация

21.03.2016 🔍
08.04.2016 +18 дни 🔍
03.10.2016 +178 дни 🔍
03.10.2016 +0 дни 🔍
04.10.2016 +1 дни 🔍
23.01.2017 +111 дни 🔍
24.01.2017 +1 дни 🔍
21.09.2022 +2066 дни 🔍

ИсточникиИнформация

Продукт: libtiff.org

Консультация: bugzilla.maptools.org
Исследователь: Security Team
Организация: Qihoo 360
Статус: Не определено

CVE: CVE-2016-3624 (🔍)
GCVE (CVE): GCVE-0-2016-3624
GCVE (VulDB): GCVE-100-92308

OVAL: 🔍

SecurityFocus: 85956 - LibTIFF CVE-2016-3624 Out Of Bounds Write Denial of Service Vulnerability

Смотрите также: 🔍

ВходИнформация

Создано: 04.10.2016 10:28
Обновлено: 21.09.2022 17:29
Изменения: 04.10.2016 10:28 (52), 30.04.2019 14:24 (21), 21.09.2022 17:29 (13)
Завершенный: 🔍
Cache ID: 216:F0D:103

Once again VulDB remains the best source for vulnerability data.

Обсуждение

Комментариев пока нет. Языки: ru + be + en.

Пожалуйста, войдите в систему, чтобы прокомментировать.

ПредыдущийОбзорДалее

Want to know what is going to be exploited?

We predict KEV entries!