阿里云漏洞库

低危 Wireshark Cairo Graphics Library cairo_image_surface_get_data 拒绝服务漏洞

CVE编号

CVE-2014-5116

利用情况

POC 已公开

补丁情况

官方补丁

披露时间

2014-07-30

漏洞描述

Cairo是软件开发者Carl Worth和Behdad Esfahbod共同研发的一个跨平台的开源矢量图形函数库，它支持在多个背景下做2D绘图，并提供高质量的显示和打印输出。

在GTK+和Wireshark中使用的Cairo 1.10.2版本的‘cairo_image_surface_get_data’函数存在拒绝服务漏洞。攻击者可通过发送长字符串造成拒绝访问（空指针逆向引用）。

解决建议

目前没有详细的解决方案提供：
http://cairographics.org/

参考链接
http://www.exploit-db.com/exploits/33384
http://www.osvdb.org/107083
https://bugs.wireshark.org/bugzilla/show_bug.cgi?id=9761

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	cairographics	cairo	1.10.2	-
	运行在以下环境
	系统	ubuntu_14.04	wireshark	*		Up to (excluding) 2.6.3-1~ubuntu14.04.1
	运行在以下环境
	系统	ubuntu_14.04.6_lts	wireshark	*		Up to (excluding) 2.6.3-1~ubuntu14.04.1
	运行在以下环境
	系统	ubuntu_16.04	wireshark	*		Up to (excluding) 2.6.3-1~ubuntu16.04.1
	运行在以下环境
	系统	ubuntu_16.04.7_lts	wireshark	*		Up to (excluding) 2.6.3-1~ubuntu16.04.1
	运行在以下环境
	系统	ubuntu_18.04	wireshark	*		Up to (excluding) 2.6.3-1~ubuntu18.04.1
	运行在以下环境
	系统	ubuntu_18.04.5_lts	wireshark	*		Up to (excluding) 2.6.3-1~ubuntu18.04.1

攻击路径

远程
攻击复杂度

容易
权限要求

无需权限
影响范围

有限影响
EXP成熟度

POC 已公开
补丁情况

官方补丁
数据保密性

无影响
数据完整性

传输被破坏
服务器危害

DoS
全网数量

N/A

CWE-ID	漏洞类型
NVD-CWE-Other