因此，该软件受到 ALAS2023-2025-1212 公告中提及的多个漏洞影响。

    在 libtiff 程序包分发的程序 tiffcrop 中发现一个缺陷。特制的 tiff 文件可能会导致 tools/tiffcrop.c 中的 extractImageSection 函数出现越界读取情形，从而造成拒绝服务和有限的信息泄露。此问题会影响 libtiff 版本 4.x。
    (CVE-2023-1916)

    在 LibTIFF、extractImageSection() at tools/tiffcrop.c:7916 和 tools/tiffcrop.c:7801 的 extractImageSection() 中发现堆缓冲区溢出漏洞。此缺陷允许攻击者通过特制的 tiff 文件造成拒绝服务。 (CVE-2023-3164)

    在 LibTIFF 中发现一个漏洞 4.7.0。此问题会影响 tiffcrop 组件的 tiffcrop.c 文件的 5 月函数。操纵会导致内存泄漏。需要在本地处理攻击。该漏洞利用已被公开并可被使用。(CVE-2025-8961)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

检测

Amazon Linux 2023：libtiff、libtiff-devel、libtiff-static (ALAS2023-2025-1212)

medium Nessus 插件 ID 270529

版本 1.2

版本 1.1

版本 1.2 Oct 30, 2025, 2:57 PM CVSS metrics ("CVSSv2 score" set to 5.6) CVSS metrics ("CVSSv2 vector" set to "CVSS2#AV:L/AC:L/Au:N/C:P/I:N/A:C") CVSS metrics ("Cvssv4 threat score" set to 1.9) CVSSv2 score source (changed from "CVE-2025-8961" to "CVE-2023-1916") CVSSv2 severity (based on CVE-2023-1916, severity increased from "Low" to "Medium") CVSSv3 score source (changed from "CVE-2023-1916" to none) Exploit attributes ("Exploitability ease" changed from "No known exploits are available" to "Exploits are available") Plugin Feed: 202510301457
版本 1.1 Oct 15, 2025, 4:14 PM New Plugin Feed: 202510151614