阿里云漏洞库

低危 Curtis Galloway exif 0.6.20 jpeg-data.c jpeg_data_load_data 拒绝服务漏洞

CVE编号

CVE-2012-2845

利用情况

暂无

补丁情况

官方补丁

披露时间

2012-07-13

漏洞描述

Libexif是一款用于解析编辑和保存EXIF数据的库。处理JPEG图像时"jpeg_data_load_data()"函数存在整数溢出错误，允许攻击者利用漏洞构建恶意图像，诱使应用程序解析，可导致应用程序崩溃或读取进程内存信息。

解决建议

libexif 0.6.21已经修复此漏洞，建议用户下载使用：http://libexif.sourceforge.net/

参考链接
http://secunia.com/advisories/49988
http://sourceforge.net/mailarchive/message.php?msg_id=29534027
http://www.mandriva.com/security/advisories?name=MDVSA-2012:107
http://www.securityfocus.com/bid/54437

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	curtis_galloway	exif	0.6.20	-
	运行在以下环境
	系统	alpine_3.10	libexif	*		Up to (excluding) 0.6.21-r0
	运行在以下环境
	系统	alpine_3.11	libexif	*		Up to (excluding) 0.6.21-r0
	运行在以下环境
	系统	alpine_3.12	libexif	*		Up to (excluding) 0.6.21-r0
	运行在以下环境
	系统	alpine_3.13	libexif	*		Up to (excluding) 0.6.21-r0
	运行在以下环境
	系统	alpine_3.14	libexif	*		Up to (excluding) 0.6.21-r0
	运行在以下环境
	系统	alpine_3.15	libexif	*		Up to (excluding) 0.6.21-r0
	运行在以下环境
	系统	alpine_3.16	libexif	*		Up to (excluding) 0.6.21-r0
	运行在以下环境
	系统	alpine_3.17	libexif	*		Up to (excluding) 0.6.21-r0
	运行在以下环境
	系统	alpine_3.18	libexif	*		Up to (excluding) 0.6.21-r0
	运行在以下环境
	系统	alpine_3.8	libexif	*		Up to (excluding) 0.6.21-r0
	运行在以下环境
	系统	alpine_3.9	libexif	*		Up to (excluding) 0.6.21-r0
	运行在以下环境
	系统	debian_10	exif	*		Up to (excluding) 0.6.20-2
	运行在以下环境
	系统	debian_11	exif	*		Up to (excluding) 0.6.20-2
	运行在以下环境
	系统	debian_12	exif	*		Up to (excluding) 0.6.20-2
	运行在以下环境
	系统	ubuntu_14.04.6_lts	exif	*		Up to (excluding) 0.6.21-1
	运行在以下环境
	系统	ubuntu_16.04.7_lts	exif	*		Up to (excluding) 0.6.21-1
	运行在以下环境
	系统	ubuntu_18.04.5_lts	exif	*		Up to (excluding) 0.6.21-1
	运行在以下环境
	系统	ubuntu_18.10	exif	*		Up to (excluding) 0.6.21-1

攻击路径

远程
攻击复杂度

复杂
权限要求

无需权限
影响范围

有限影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

无影响
数据完整性

无影响
服务器危害

DoS
全网数量

N/A

CWE-ID	漏洞类型
CWE-189	数值错误