阿里云漏洞库

低危 Silicon Graphics LibTIFF 'tools/tiff2pdf.c'堆缓冲区溢出漏洞

CVE编号

CVE-2017-11335

利用情况

暂无

补丁情况

官方补丁

披露时间

2017-07-18

漏洞描述

LibTIFF 4.0.8的Tools/tiff2pdf.c中存在一个通过PlanarConfig=Contig映像的基于堆的缓冲区溢出，导致100多个字节的越界写入(与tif_zip.c中的ZIPDecode函数相关)。精心编制的输入可能导致远程拒绝服务攻击或任意代码执行攻击。

解决建议

厂商已发布漏洞修复程序，请及时关注更新：
http://bugzilla.maptools.org/show_bug.cgi?id=2715

参考链接
http://bugzilla.maptools.org/show_bug.cgi?id=2715
https://usn.ubuntu.com/3602-1/
https://www.debian.org/security/2018/dsa-4100

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	libtiff	libtiff	4.0.8	-
	运行在以下环境
	系统	debian	DPKG	*		Up to (excluding) 0
	运行在以下环境
	系统	debian_7	tiff	*		Up to (excluding) 4.0.2-6+deb7u16
	运行在以下环境
	系统	debian_8	tiff	*		Up to (excluding) 4.0.3-12.3+deb8u10
	运行在以下环境
	系统	debian_9	tiff	*		Up to (excluding) 4.0.8-2+deb9u2
	运行在以下环境
	系统	suse_11	libtiff3	*		Up to (excluding) 3.8.2-141.169.3
	运行在以下环境
	系统	suse_11_SP4	tiff	*		Up to (excluding) 3.8.2-141.169.3.1
	运行在以下环境
	系统	ubuntu_14.04	tiff	*		Up to (excluding) 4.0.3-7ubuntu0.8
	运行在以下环境
	系统	ubuntu_14.04.6_lts	tiff	*		Up to (excluding) 4.0.3-7ubuntu0.8
	运行在以下环境
	系统	ubuntu_16.04	tiff	*		Up to (excluding) 4.0.6-1ubuntu0.3
	运行在以下环境
	系统	ubuntu_16.04.7_lts	tiff	*		Up to (excluding) 4.0.6-1ubuntu0.3

攻击路径

远程
攻击复杂度

复杂
权限要求

无需权限
影响范围

有限影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

无影响
数据完整性

无影响
服务器危害

无影响
全网数量

100

CWE-ID	漏洞类型
CWE-787	跨界内存写