检测

MagicLinux 7libexif-0.6.22-1.el7 (AXSA:2020-584:04)

high Nessus 插件 ID 294627

语言:

简介

远程iraclelinux 主机缺少一个或多个安全更新。

描述

远程iraclelinux 7 主机上存在安装的程序包该程序包受到 AXSA:2020-584:04 公告中提及的多个漏洞的影响。

 * libexifexif-data.c 中的越界写入 (CVE-2019-9278)
 * libexif由于 exif-data.c 的 exif_data_save_data_entry 函数中缺少边界检查而导致越界读取 (CVE-2020-0093)
 * libexif在 EXIF Makernote 处理中使用未初始化的内存可导致崩溃和释放后使用问题 (CVE-2020-13113)
 * libexif处理 Canon EXIF MakerNote 数据时不限制大小可导致消耗大量计算时间 (CVE-2020-13114)
 * libexif由于 exif-entry.c 的 exif_entry_get_value 函数中缺少边界检查导致越界读取 (CVE-2020-0182)
 * libexifexif-entry.c 的 exif_entry_get_value 函数中存在除零错误 (CVE-2020-12767) CVE-2019-9278 在 libexif 中可能存在因整数溢出导致的越界写入。这可能会导致媒体内容提供程序中的远程权限提升,且无需其他执行权限。需要用户交互才可利用此漏洞。产品Android版本Android-10Android ID A-112537774 CVE-2020-0093 在 exif-data.c 的 exif_data_save_data_entry 中可能存在因缺少边界检查而导致的越界读取。这可能导致本地信息泄露,且无需其他执行权限。利用需要用户交互。Product: AndroidVersions: Android-8.0 Android-8.1 Android-9 Android-10Android ID: A-148705132 CVE-2020-0182 在 exif-entry.c 的 exif_entry_get_value 中存在可能的越界读取原因在于缺少边界检查。这可能导致本地信息泄露,且无需其他执行权限。
 恶意利用无需用户交互。Product: AndroidVersions: Android-10Android ID
 A-147140917 CVE-2020-127670.6.21 libexif中 exif-entry.c 的 exif_entry_get_value 存在除以零错误。
 CVE-2020-13113 在 之前的 libexif 中发现一个问题 0.6.22。在 EXIF Makernote 处理中使用未初始化的内存可导致崩溃和潜在的释放后使用情况。
 CVE-2020-13114 在 之前的 libexif 中发现一个问题 0.6.22。处理 Canon EXIF MakerNote 数据时一个未限制大小的漏洞可导致消耗大量计算时间用于解码 EXIF 数据。

Tenable 已直接从MiracleLinux 安全公告中提取上述描述块。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的 libexif 程序包。

另见

https://tsn.miraclelinux.com/en/node/11765

插件详情

严重性: High

ID: 294627

文件名: miracle_linux_AXSA-2020-584.nasl

版本: 1.1

类型: Local

发布时间: 2026/1/20

最近更新时间: 2026/1/20

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

Vendor

Vendor Severity: Moderate

CVSS v2

风险因素: Medium

基本分数: 6.8

时间分数: 5

矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS 分数来源: CVE-2019-9278

CVSS v3

风险因素: High

基本分数: 8.8

时间分数: 7.7

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:miracle:linux:libexif, cpe:/o:miracle:linux:7

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list

易利用性: No known exploits are available

补丁发布日期: 2020/10/6

漏洞发布日期: 2019/9/27

参考资料信息

CVE: CVE-2019-9278, CVE-2020-0093, CVE-2020-0182, CVE-2020-12767, CVE-2020-13113, CVE-2020-13114