低危 libjpeg 信息泄漏漏洞

CVE编号

CVE-2013-6629

利用情况

暂无

补丁情况

官方补丁

披露时间

2017-04-11
漏洞描述
libjpeg-turbo是一个专门为x86和x86-64处理器优化的高速libjpeg的改进版本。

libjpeg/libjpeg-turbo在解码图像时未能正确初始化数据结构,允许攻击者构建恶意文件,诱使引用程序解析,可读取未初始化内存,获取敏感信息。
解决建议
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
https://code.google.com/p/chromium/issues/detail?id=258723
参考链接
http://advisories.mageia.org/MGASA-2013-0333.html
http://archives.neohapsis.com/archives/fulldisclosure/2013-11/0080.html
http://bugs.ghostscript.com/show_bug.cgi?id=686980
http://googlechromereleases.blogspot.com/2013/11/stable-channel-update.html
http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10705
http://lists.fedoraproject.org/pipermail/package-announce/2013-December/123437.html
http://lists.fedoraproject.org/pipermail/package-announce/2013-December/124108.html
http://lists.fedoraproject.org/pipermail/package-announce/2013-December/124257.html
http://lists.fedoraproject.org/pipermail/package-announce/2014-January/125470.html
http://lists.opensuse.org/opensuse-security-announce/2013-11/msg00025.html
http://lists.opensuse.org/opensuse-security-announce/2013-11/msg00026.html
http://lists.opensuse.org/opensuse-security-announce/2013-12/msg00002.html
http://lists.opensuse.org/opensuse-updates/2013-12/msg00085.html
http://lists.opensuse.org/opensuse-updates/2013-12/msg00086.html
http://lists.opensuse.org/opensuse-updates/2013-12/msg00087.html
http://lists.opensuse.org/opensuse-updates/2013-12/msg00119.html
http://lists.opensuse.org/opensuse-updates/2013-12/msg00120.html
http://lists.opensuse.org/opensuse-updates/2013-12/msg00121.html
http://lists.opensuse.org/opensuse-updates/2014-01/msg00002.html
http://lists.opensuse.org/opensuse-updates/2014-01/msg00042.html
http://marc.info/?l=bugtraq&m=140852886808946&w=2
http://marc.info/?l=bugtraq&m=140852974709252&w=2
http://rhn.redhat.com/errata/RHSA-2013-1803.html
http://rhn.redhat.com/errata/RHSA-2013-1804.html
http://secunia.com/advisories/56175
http://secunia.com/advisories/58974
http://secunia.com/advisories/59058
http://security.gentoo.org/glsa/glsa-201406-32.xml
http://support.apple.com/kb/HT6150
http://support.apple.com/kb/HT6162
http://support.apple.com/kb/HT6163
http://www-01.ibm.com/support/docview.wss?uid=swg21672080
http://www-01.ibm.com/support/docview.wss?uid=swg21676746
http://www.debian.org/security/2013/dsa-2799
http://www.mandriva.com/security/advisories?name=MDVSA-2013:273
http://www.mozilla.org/security/announce/2013/mfsa2013-116.html
http://www.oracle.com/technetwork/topics/security/bulletinapr2016-2952098.html
http://www.oracle.com/technetwork/topics/security/cpuapr2014-1972952.html
http://www.securityfocus.com/bid/63676
http://www.securitytracker.com/id/1029470
http://www.securitytracker.com/id/1029476
http://www.ubuntu.com/usn/USN-2052-1
http://www.ubuntu.com/usn/USN-2053-1
http://www.ubuntu.com/usn/USN-2060-1
https://access.redhat.com/errata/RHSA-2014:0413
https://access.redhat.com/errata/RHSA-2014:0414
https://bugzilla.mozilla.org/show_bug.cgi?id=891693
https://code.google.com/p/chromium/issues/detail?id=258723
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2013-6629
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2013-6629
https://security.gentoo.org/glsa/201606-03
https://src.chromium.org/viewvc/chrome?revision=229729&view=revision
https://www.ibm.com/support/docview.wss?uid=swg21675973
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 artifex gpl_ghostscript - -
运行在以下环境
应用 google chrome * Up to
(including)
31.0.1650.47
运行在以下环境
应用 google chrome 31.0.1650.0 -
运行在以下环境
应用 google chrome 31.0.1650.10 -
运行在以下环境
应用 google chrome 31.0.1650.11 -
运行在以下环境
应用 google chrome 31.0.1650.12 -
运行在以下环境
应用 google chrome 31.0.1650.13 -
运行在以下环境
应用 google chrome 31.0.1650.14 -
运行在以下环境
应用 google chrome 31.0.1650.15 -
运行在以下环境
应用 google chrome 31.0.1650.16 -
运行在以下环境
应用 google chrome 31.0.1650.17 -
运行在以下环境
应用 google chrome 31.0.1650.18 -
运行在以下环境
应用 google chrome 31.0.1650.19 -
运行在以下环境
应用 google chrome 31.0.1650.2 -
运行在以下环境
应用 google chrome 31.0.1650.20 -
运行在以下环境
应用 google chrome 31.0.1650.22 -
运行在以下环境
应用 google chrome 31.0.1650.23 -
运行在以下环境
应用 google chrome 31.0.1650.25 -
运行在以下环境
应用 google chrome 31.0.1650.26 -
运行在以下环境
应用 google chrome 31.0.1650.27 -
运行在以下环境
应用 google chrome 31.0.1650.28 -
运行在以下环境
应用 google chrome 31.0.1650.29 -
运行在以下环境
应用 google chrome 31.0.1650.3 -
运行在以下环境
应用 google chrome 31.0.1650.30 -
运行在以下环境
应用 google chrome 31.0.1650.31 -
运行在以下环境
应用 google chrome 31.0.1650.32 -
运行在以下环境
应用 google chrome 31.0.1650.33 -
运行在以下环境
应用 google chrome 31.0.1650.34 -
运行在以下环境
应用 google chrome 31.0.1650.35 -
运行在以下环境
应用 google chrome 31.0.1650.36 -
运行在以下环境
应用 google chrome 31.0.1650.37 -
运行在以下环境
应用 google chrome 31.0.1650.38 -
运行在以下环境
应用 google chrome 31.0.1650.39 -
运行在以下环境
应用 google chrome 31.0.1650.4 -
运行在以下环境
应用 google chrome 31.0.1650.41 -
运行在以下环境
应用 google chrome 31.0.1650.42 -
运行在以下环境
应用 google chrome 31.0.1650.43 -
运行在以下环境
应用 google chrome 31.0.1650.44 -
运行在以下环境
应用 google chrome 31.0.1650.45 -
运行在以下环境
应用 google chrome 31.0.1650.46 -
运行在以下环境
应用 google chrome 31.0.1650.5 -
运行在以下环境
应用 google chrome 31.0.1650.6 -
运行在以下环境
应用 google chrome 31.0.1650.7 -
运行在以下环境
应用 google chrome 31.0.1650.8 -
运行在以下环境
应用 google chrome 31.0.1650.9 -
运行在以下环境
系统 amazon_AMI libjpeg-turbo * Up to
(excluding)
1.2.1-3.4.amzn1
运行在以下环境
系统 centos_6 libjpeg-turbo * Up to
(excluding)
1.2.1-3.el6_5
运行在以下环境
系统 centos_7 java * Up to
(excluding)
1.7.1-ibm-demo-1.7.1.1.0-1jpp.2.el7_0
运行在以下环境
系统 debian_10 libjpeg-turbo * Up to
(excluding)
1.3.0-3
运行在以下环境
系统 debian_11 libjpeg-turbo * Up to
(excluding)
1.3.0-3
运行在以下环境
系统 debian_12 libjpeg-turbo * Up to
(excluding)
1.3.0-3
运行在以下环境
系统 debian_7 chromium-browser * Up to
(excluding)
31.0.1650.57-1~deb7u1
运行在以下环境
系统 opensuse_11.4 libfreebl3-debuginfo-32bit * Up to
(excluding)
24.2.0-95.2
运行在以下环境
系统 opensuse_12.2 chromium-suid-helper * Up to
(excluding)
31.0.1650.57-1.54.1
运行在以下环境
系统 opensuse_12.3 chromium-suid-helper * Up to
(excluding)
31.0.1650.57-1.17.1
运行在以下环境
系统 opensuse_13.1 chromium-suid-helper * Up to
(excluding)
31.0.1650.57-8.2
运行在以下环境
系统 oracle_5 oraclelinux-release * Up to
(excluding)
6b-38
运行在以下环境
系统 oracle_6 oraclelinux-release * Up to
(excluding)
1.2.1-3.el6_5
运行在以下环境
系统 redhat_5 libjpeg * Up to
(excluding)
0:6b-38
运行在以下环境
系统 redhat_6 java-1.7.0-oracle * Up to
(excluding)
1:1.7.0.55-1jpp.2.el5_10
运行在以下环境
系统 redhat_7 java * Up to
(excluding)
1.7.1-ibm-demo-1.7.1.1.0-1jpp.2.el7_0
运行在以下环境
系统 suse_11_SP2 java-1_7_0-ibm-alsa * Up to
(excluding)
1.6.0_sr15.0-0.5.1
运行在以下环境
系统 suse_11_SP3 java-1_7_0-openjdk-devel * Up to
(excluding)
1.6.0_sr16.2-0.3.1
运行在以下环境
系统 suse_12 MozillaFirefox * Up to
(excluding)
31.1.0esr-1
运行在以下环境
系统 ubuntu_12.04.5_lts firefox * Up to
(excluding)
26.0+build2-0ubuntu0.12.04.2
阿里云评分
3.8
  • 攻击路径
    远程
  • 攻击复杂度
    容易
  • 权限要求
    无需权限
  • 影响范围
    有限影响
  • EXP成熟度
    N/A
  • 补丁情况
    官方补丁
  • 数据保密性
    数据泄露
  • 数据完整性
    无影响
  • 服务器危害
    无影响
  • 全网数量
    N/A
CWE-ID 漏洞类型
CWE-200 信息暴露
阿里云安全产品覆盖情况