PT-2022-7201 · Libtiff+1 · Libtiff+1

Even Rouault

+1

·

Publicado

2022-04-22

·

Atualizado

2025-06-03

·

CVE-2022-1623

CVSS v2.0

7.1

Alta

VetorAV:N/AC:M/Au:N/C:N/I:N/A:C
Nome do software vulnerável e versões afetadas
Ramo master do LibTIFF
Descrição
O problema está relacionado a uma leitura fora dos limites na função LZWDecode em libtiff/tif lzw.c:624, que pode ser explorada por invasores para causar uma negação de serviço por meio de um arquivo TIFF malicioso. Isso pode ser feito remotamente.
Recomendações
Para usuários que compilam o libtiff a partir dos códigos-fonte, a correção está disponível no commit b4e79bfa. Como solução alternativa temporária, considere desativar a função LZWDecode até que um patch esteja disponível. Restrinja o acesso ao módulo libtiff/tif lzw.c para minimizar o risco de exploração. Evite usar arquivos TIFF criados especificamente para a função LZWDecode afetada até que o problema seja resolvido.

Exploit

Correção

DoS

Out of bounds Read

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-125

Identificadores relacionados

ALT-PU-2022-2007
ALT-PU-2025-7532
AZL-9734
BDU:2023-09084
CVE-2022-1623
DSA-5333-1
MGASA-2022-0240
OESA-2022-1728

Produtos afetados

Alt Linux
Libtiff