阿里云漏洞库

低危 libTIFF TIFF图像缓冲区溢出漏洞（CNVD-2012-3519）

CVE编号

CVE-2012-2088

利用情况

暂无

补丁情况

官方补丁

披露时间

2012-07-23

漏洞描述

LibTiff是一款负责对TIFF图象格式进行编码/解码的应用库。LibTiff存在一个类型转换缺陷，在读取某些tiled tiff文件时可触发基于堆的缓冲区溢出，攻击者可以构建特制TIFF影响，诱使使用libtiff库的应用程序打开，可使应用程序崩溃或执行任意代码。

解决建议

用户可参考如下供应商提供的安全公告获得补丁信息：https://rhn.redhat.com/errata/RHSA-2012-1054.html

参考链接
http://lists.apple.com/archives/security-announce/2013/Mar/msg00002.html
http://lists.opensuse.org/opensuse-security-announce/2012-07/msg00010.html
http://rhn.redhat.com/errata/RHSA-2012-1054.html
http://secunia.com/advisories/49686
http://secunia.com/advisories/50726
http://security.gentoo.org/glsa/glsa-201209-02.xml
http://support.apple.com/kb/HT6162
http://support.apple.com/kb/HT6163
http://www.mandriva.com/security/advisories?name=MDVSA-2012:101
http://www.securityfocus.com/bid/54270
https://bugzilla.redhat.com/show_bug.cgi?id=832864
https://hermes.opensuse.org/messages/15083566

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	libtiff	libtiff	*		Up to (including) 3.9.4
	运行在以下环境
	应用	libtiff	libtiff	3.4	-
	运行在以下环境
	应用	libtiff	libtiff	3.5.1	-
	运行在以下环境
	应用	libtiff	libtiff	3.5.2	-
	运行在以下环境
	应用	libtiff	libtiff	3.5.3	-
	运行在以下环境
	应用	libtiff	libtiff	3.5.4	-
	运行在以下环境
	应用	libtiff	libtiff	3.5.5	-
	运行在以下环境
	应用	libtiff	libtiff	3.5.6	-
	运行在以下环境
	应用	libtiff	libtiff	3.5.7	-
	运行在以下环境
	应用	libtiff	libtiff	3.6.0	-
	运行在以下环境
	应用	libtiff	libtiff	3.6.1	-
	运行在以下环境
	应用	libtiff	libtiff	3.7.0	-
	运行在以下环境
	应用	libtiff	libtiff	3.7.1	-
	运行在以下环境
	应用	libtiff	libtiff	3.7.2	-
	运行在以下环境
	应用	libtiff	libtiff	3.7.3	-
	运行在以下环境
	应用	libtiff	libtiff	3.7.4	-
	运行在以下环境
	应用	libtiff	libtiff	3.8.0	-
	运行在以下环境
	应用	libtiff	libtiff	3.8.1	-
	运行在以下环境
	应用	libtiff	libtiff	3.8.2	-
	运行在以下环境
	应用	libtiff	libtiff	3.9	-
	运行在以下环境
	应用	libtiff	libtiff	3.9.0	-
	运行在以下环境
	应用	libtiff	libtiff	3.9.1	-
	运行在以下环境
	应用	libtiff	libtiff	3.9.2	-
	运行在以下环境
	应用	libtiff	libtiff	3.9.2-5.2.1	-
	运行在以下环境
	应用	libtiff	libtiff	3.9.3	-
	运行在以下环境
	系统	redhat_6	libtiff	*		Up to (excluding) 0:3.8.2-15.el5_8
	运行在以下环境
	系统	suse_11	libtiff3	*		Up to (excluding) 3.8.2-141.152
	运行在以下环境
	系统	ubuntu_12.04.5_lts	tiff	*		Up to (excluding) 3.9.5-2ubuntu1.1

攻击路径

远程
攻击复杂度

复杂
权限要求

无需权限
影响范围

有限影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

无影响
数据完整性

无影响
服务器危害

DoS
全网数量

N/A

CWE-ID	漏洞类型
CWE-189	数值错误