阿里云漏洞库

低危 LibTIFF越界写拒绝服务漏洞

CVE编号

CVE-2014-8128

利用情况

暂无

补丁情况

官方补丁

披露时间

2020-02-12

漏洞描述

CVE(CAN) ID:CVE-2014-8128LibTIFF是一个用来读写标签图像文件格式（简写为TIFF）的库。LibTIFF在多个工具中存在越界写漏洞，攻击者可利用此漏洞造成应用崩溃。

解决建议

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
http://www.libtiff.org/

参考链接
http://lists.apple.com/archives/security-announce/2015/Jun/msg00001.html
http://lists.apple.com/archives/security-announce/2015/Jun/msg00002.html
http://openwall.com/lists/oss-security/2015/01/24/15
http://support.apple.com/kb/HT204941
http://support.apple.com/kb/HT204942
http://www.conostix.com/pub/adv/CVE-2014-8128-LibTIFF-Out-of-bounds_Writes.txt
https://bugzilla.redhat.com/show_bug.cgi?id=1185812

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	libtiff	libtiff	*		Up to (excluding) 4.0.4
	运行在以下环境
	系统	debian	DPKG	*		Up to (excluding) 4.0.3-12.3
	运行在以下环境
	系统	debian_10	tiff	*		Up to (excluding) 4.0.3-12.3
	运行在以下环境
	系统	debian_11	tiff	*		Up to (excluding) 4.0.3-12.3
	运行在以下环境
	系统	debian_12	tiff	*		Up to (excluding) 4.0.3-12.3
	运行在以下环境
	系统	debian_6	tiff	*		Up to (excluding) 3.9.4-5+squeeze12
	运行在以下环境
	系统	debian_7	tiff	*		Up to (excluding) 4.0.2-6+deb7u7
	运行在以下环境
	系统	opensuse_Leap_42.2	libtiff5-32bit	*		Up to (excluding) 4.0.9-24.1
	运行在以下环境
	系统	opensuse_Leap_42.3	libtiff5-32bit	*		Up to (excluding) 4.0.9-24.1
	运行在以下环境
	系统	suse_11_SP3	libtiff3-32bit	*		Up to (excluding) 3.8.2-141.160.1
	运行在以下环境
	系统	suse_11_SP4	libtiff3-32bit	*		Up to (excluding) 3.8.2-141.169.9.1
	运行在以下环境
	系统	suse_12	libtiff5	*		Up to (excluding) 4.0.4-12.2
	运行在以下环境
	系统	suse_12_SP2	libtiff5-32bit	*		Up to (excluding) 4.0.9-44.7.1
	运行在以下环境
	系统	suse_12_SP3	libtiff5-32bit	*		Up to (excluding) 4.0.9-44.7.1
	运行在以下环境
	系统	ubuntu_12.04.5_lts	tiff	*		Up to (excluding) 3.9.5-2ubuntu1.7
	运行在以下环境
	系统	ubuntu_14.04	tiff	*		Up to (excluding) 4.0.3-7ubuntu0.2
	运行在以下环境
	系统	ubuntu_14.04.6_lts	tiff	*		Up to (excluding) 4.0.3-7ubuntu0.2

攻击路径

远程
攻击复杂度

复杂
权限要求

无需权限
影响范围

有限影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

无影响
数据完整性

无影响
服务器危害

无影响
全网数量

100

CWE-ID	漏洞类型
CWE-787	跨界内存写