PT-2022-4138 · Libtiff+1 · Libtiff+1
John Helmert Iii
·
Publicado
2022-06-21
·
Atualizado
2025-09-30
·
CVE-2022-34266
CVSS v3.1
5.5
Média
| Vetor | AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
LibTIFF versão 4.0.3-35.amzn2.0.1
Descrição
O problema está relacionado ao processamento de arquivos TIFF maliciosos, o que pode causar uma negação de serviço (falha do aplicativo). Especificamente, um intervalo inválido pode ser passado como argumento para a função
memset() dentro da função TIFFFetchStripThing() em tif dirread.c, levando a uma falha de segmentação após o uso de um recurso não inicializado. Isso ocorre quando a função TIFFFetchStripThing() é usada para lidar com arquivos TIFF, permitindo potencialmente que um invasor explore a vulnerabilidade e cause uma interrupção no serviço.Recomendações
Para a versão 4.0.3-35.amzn2.0.1 da LibTIFF, considere evitar o uso da função
TIFFFetchStripThing() até que um patch esteja disponível, ou restrinja o acesso ao módulo tif dirread.c para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.DoS
Use of Uninitialized Resource
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Libtiff
Suse