阿里云漏洞库

低危 Xfig拒绝服务漏洞

CVE编号

CVE-2017-16899

利用情况

暂无

补丁情况

官方补丁

披露时间

2017-11-21

漏洞描述

Xfig是X窗口系统所使用的绘图程序。

Xfig 3.2.6a版本中的fig2dev程序存在安全漏洞。远程攻击者可借助恶意制作的Fig格式文件利用该漏洞造成拒绝服务或获取信息。

解决建议

厂商尚未提供漏洞修复方案，请关注厂商主页更新：
http://mcj.sourceforge.net/

参考链接
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=881143

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	xfig_project	xfig	3.2.6a	-
	运行在以下环境
	系统	debian_10	fig2dev	*		Up to (excluding) 1:3.2.6a-5
	运行在以下环境
	系统	debian_11	fig2dev	*		Up to (excluding) 1:3.2.6a-5
	运行在以下环境
	系统	debian_12	fig2dev	*		Up to (excluding) 1:3.2.6a-5
	运行在以下环境
	系统	fedora_26	transfig-debuginfo	*		Up to (excluding) 3.2.6a-1.fc26
	运行在以下环境
	系统	fedora_27	transfig-debuginfo	*		Up to (excluding) 3.2.6a-1.fc27
	运行在以下环境
	系统	opensuse_Leap_42.3	transfig	*		Up to (excluding) 3.2.5e-7.3.1
	运行在以下环境
	系统	suse_11_SP4	transfig	*		Up to (excluding) 3.2.5-160.3.2
	运行在以下环境
	系统	suse_12	transfig	*		Up to (excluding) 3.2.5e-2.3
	运行在以下环境
	系统	suse_12_SP2	transfig	*		Up to (excluding) 3.2.5e-2.3.2
	运行在以下环境
	系统	suse_12_SP3	transfig	*		Up to (excluding) 3.2.5e-2.3.2
	运行在以下环境
	系统	ubuntu_18.04.5_lts	fig2dev	*		Up to (excluding) 1:3.2.6a-6
	运行在以下环境
	系统	ubuntu_18.10	fig2dev	*		Up to (excluding) 1:3.2.6a-6

攻击路径

本地
攻击复杂度

复杂
权限要求

无需权限
影响范围

有限影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

无影响
数据完整性

无影响
服务器危害

无影响
全网数量

100

CWE-ID	漏洞类型
CWE-129	对数组索引的验证不恰当