检测

Ubuntu 16.04 ESM / 18.04 LTS / 20.04 LTS / 22.04 LTS:LibTIFF 漏洞 (USN-5619-1)

medium Nessus 插件 ID 165277

语言:

简介

远程 Ubuntu 主机缺少一个或多个安全更新。

描述

远程 Ubuntu 16.04 ESM/18.04 LTS/20.04LTS/22.04 LTS 主机上安装的多个程序包受到 USN-5619-1 公告中提及的多个漏洞影响。

 - LibTiff v4.0.10 中存在缓冲区溢出问题,攻击者可以通过 tiffcrop 组件中的 invertImage() 函数造成拒绝服务。(CVE-2020-19131)

 - LibTiff v4.0.10 中存在缓冲区溢出问题,攻击者可以通过组件“tif_unix.c”中的“in _TIFFmemcpy”函数造成拒绝服务。(CVE-2020-19144)

 - 在 Libtiff 的 tiffinfo.c 中的 TIFFReadRawDataStriped() 函数中发现堆缓冲区溢出缺陷。此缺陷允许攻击者将构建的 TIFF 文件传递给 tiffinfo 工具,从而触发堆缓冲区溢出问题并造成崩溃,进而导致拒绝服务。(CVE-2022-1354)

 - 在 Libtiff 的主 () 函数的 tiffcp.c 中存在堆栈缓冲区溢出缺陷。此缺陷允许攻击者将构建的 TIFF 文件传递给 tiffcp 工具,从而触发堆栈缓冲区溢出问题。这可能会损坏内存,并导致崩溃进而造成拒绝服务。(CVE-2022-1355)

 - libtiff 4.4.0 版 tiffcrop 中的可访问断言允许攻击者通过特制的 tiff 文件造成拒绝服务。从源代码编译 libtiff 的用户可以通过 commit f3a5e010 获取该补丁。
 (CVE-2022-2056、CVE-2022-2057、CVE-2022-2058)

请注意,Nessus 尚未测试这些问题,而是只依靠应用程序自我报告的版本号来判断。

解决方案

更新受影响的程序包。

另见

https://ubuntu.com/security/notices/USN-5619-1

插件详情

严重性: Medium

ID: 165277

文件名: ubuntu_USN-5619-1.nasl

版本: 1.4

类型: local

代理: unix

发布时间: 2022/9/21

最近更新时间: 2023/7/12

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.0

CVSS v2

风险因素: Medium

基本分数: 5

时间分数: 3.9

矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P

CVSS 分数来源: CVE-2020-19131

CVSS v3

风险因素: Medium

基本分数: 6.1

时间分数: 5.5

矢量: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:H

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

CVSS 分数来源: CVE-2022-1355

漏洞信息

CPE: p-cpe:/a:canonical:ubuntu_linux:libtiff5-dev, p-cpe:/a:canonical:ubuntu_linux:libtiffxx5, cpe:/o:canonical:ubuntu_linux:16.04:-:esm, cpe:/o:canonical:ubuntu_linux:18.04:-:lts, cpe:/o:canonical:ubuntu_linux:20.04:-:lts, cpe:/o:canonical:ubuntu_linux:22.04:-:lts, p-cpe:/a:canonical:ubuntu_linux:libtiff-dev, p-cpe:/a:canonical:ubuntu_linux:libtiff-opengl, p-cpe:/a:canonical:ubuntu_linux:libtiff-tools, p-cpe:/a:canonical:ubuntu_linux:libtiff4-dev, p-cpe:/a:canonical:ubuntu_linux:libtiff5, p-cpe:/a:canonical:ubuntu_linux:libtiff5-alt-dev

必需的 KB 项: Host/cpu, Host/Debian/dpkg-l, Host/Ubuntu, Host/Ubuntu/release

可利用: true

易利用性: Exploits are available

补丁发布日期: 2022/9/20

漏洞发布日期: 2021/9/7

参考资料信息

CVE: CVE-2020-19131, CVE-2020-19144, CVE-2022-1354, CVE-2022-1355, CVE-2022-2056, CVE-2022-2057, CVE-2022-2058

USN: 5619-1