PT-2022-6886 · Libtiff+7 · Libtiff+7

Wangdw.Augustus@Gmail.Com

·

Publicado

2022-10-21

·

Atualizado

2025-06-19

·

CVE-2022-3626

CVSS v2.0

10

Alta

VetorAV:N/AC:L/Au:N/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas
LibTIFF versão 4.4.0
Descrição
O problema está relacionado a uma gravação fora dos limites na função TIFFmemset, permitindo que invasores causem uma negação de serviço por meio de um arquivo TIFF malicioso. Isso pode ser acionado quando a função TIFFmemset é chamada a partir de processCropSelections em tools/tiffcrop.c:7619. A vulnerabilidade está associada a um estouro de buffer de memória.
Recomendações
Para a versão 4.4.0 da LibTIFF, os usuários que compilam a libtiff a partir dos códigos-fonte podem aplicar a correção disponível no commit 236b7191. Como solução alternativa temporária, considere restringir o uso de arquivos TIFF criados especificamente para minimizar o risco de exploração.

Exploit

Correção

DoS

Memory Corruption

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-787

Identificadores relacionados

ALSA-2023:2340
ALT-PU-2022-3360
ALT-PU-2022-3428
ALT-PU-2025-7185
ALT-PU-2025-7532
AZL-11287
BDU:2023-05409
CVE-2022-3626
DLA-3278-1
DSA-5333-1
MGASA-2022-0424
OESA-2022-2020
OPENSUSE-SU-2022_4259-1
OPENSUSE-SU-2024:12510-1
RHSA-2023:2340
RHSA-2023_2340
ROSA-SA-2025-2627
SUSE-SU-2022:4248-1
SUSE-SU-2022:4259-1
USN-5714-1

Produtos afetados

Alt Linux
Almalinux
Astra Linux
Libtiff
Linuxmint
Red Hat
Suse
Ubuntu