阿里云漏洞库

低危 GIMP 'fit'文件格式拒绝服务漏洞

CVE编号

CVE-2012-3236

利用情况

POC 已公开

补丁情况

官方补丁

披露时间

2012-07-13

漏洞描述

GIMP是GNU Image Manipulation Program（GNU图像处理程序）的缩写，是一套跨平台开发源码图像处理软件。GIMP处理部分FIT格式文件存在缺陷，远程攻击者可以提供包含特制'XTENSION'头的FIT格式文件，诱使应用程序处理，可导致gimp崩溃。

解决建议

用户可参考如下供应商提供的安全公告获得补丁信息：http://git.gnome.org/browse/gimp/commit/plug-ins/file-fits/fits-io.c?id=ace45631595e8781a1420842582d67160097163c

参考链接
http://archives.neohapsis.com/archives/bugtraq/2012-06/0192.html
http://git.gnome.org/browse/gimp/commit/plug-ins/file-fits/fits-io.c?id=ace45...
http://lists.opensuse.org/opensuse-security-announce/2012-09/msg00000.html
http://www.exploit-db.com/exploits/19482
http://www.mandriva.com/security/advisories?name=MDVSA-2013:082
http://www.reactionpenetrationtesting.co.uk/FIT-file-handling-dos.html
http://www.securityfocus.com/bid/54246
http://www.ubuntu.com/usn/USN-1559-1
https://bugzilla.gnome.org/show_bug.cgi?id=676804
https://exchange.xforce.ibmcloud.com/vulnerabilities/76658

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	gimp	gimp	*		Up to (including) 2.6.11
	运行在以下环境
	应用	gimp	gimp	2.6.8	-
	运行在以下环境
	应用	gnu	gimp	2.2.0	-
	运行在以下环境
	应用	gnu	gimp	2.3.0	-
	运行在以下环境
	应用	gnu	gimp	2.3.3	-
	运行在以下环境
	应用	gnu	gimp	2.4.0	-
	运行在以下环境
	应用	gnu	gimp	2.5.0	-
	运行在以下环境
	应用	gnu	gimp	2.6.0	-
	运行在以下环境
	应用	gnu	gimp	2.7.0	-
	运行在以下环境
	系统	debian_10	gimp	*		Up to (excluding) 2.8.2-1
	运行在以下环境
	系统	debian_11	gimp	*		Up to (excluding) 2.8.2-1
	运行在以下环境
	系统	debian_12	gimp	*		Up to (excluding) 2.8.2-1
	运行在以下环境
	系统	opensuse_11.4	gimp	*		Up to (excluding) 2.6.11-13.58.1
	运行在以下环境
	系统	opensuse_12.1	gimp	*		Up to (excluding) 2.6.11-28.26.1
	运行在以下环境
	系统	suse_12	gimp	*		Up to (excluding) 2.8.10-1
	运行在以下环境
	系统	ubuntu_12.04.5_lts	gimp	*		Up to (excluding) 2.6.12-1ubuntu1.1

攻击路径

远程
攻击复杂度

复杂
权限要求

无需权限
影响范围

有限影响
EXP成熟度

POC 已公开
补丁情况

官方补丁
数据保密性

无影响
数据完整性

无影响
服务器危害

DoS
全网数量

N/A

CWE-ID	漏洞类型
CWE-119	内存缓冲区边界内操作的限制不恰当
CWE-476	空指针解引用