阿里云漏洞库

中危 Silicon Graphics LibTIFF拒绝服务漏洞（CNVD-2018-09886）

CVE编号

CVE-2018-10126

利用情况

暂无

补丁情况

没有补丁

披露时间

2018-04-22

漏洞描述

Silicon Graphics LibTIFF是美国Silicon Graphics公司的一个读写TIFF（标签图像文件格式）文件的库。该库包含一些处理TIFF文件的命令行工具。

Silicon Graphics LibTIFF 4.0.9版本中的jfdctint.c文件的‘jpeg_fdct_16x16’函数存在安全漏洞。攻击者可利用该漏洞造成拒绝服务（空指针逆向引用和段错误）。

解决建议

目前厂商暂未发布修复措施解决此安全问题，建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法：
http://www.libtiff.org/

参考链接
http://bugzilla.maptools.org/show_bug.cgi?id=2786
https://lists.apache.org/thread.html/rf9fa47ab66495c78bb4120b0754dd9531ca2ff0...

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	libtiff	libtiff	4.0.9	-
	运行在以下环境
	系统	debian_10	tiff	*		Up to (including) 4.1.0+git191117-2~deb10u3
	运行在以下环境
	系统	debian_11	tiff	*		Up to (including) 4.2.0-1
	运行在以下环境
	系统	debian_12	tiff	*		Up to (including) 4.4.0-2
	运行在以下环境
	系统	debian_9	tiff	*		Up to (including) 4.0.8-2+deb9u5
	运行在以下环境
	系统	debian_sid	tiff	*		Up to (including) 4.4.0-2
	运行在以下环境
	系统	ubuntu_14.04.6_lts	tiff	*		Up to (excluding) 2019-04-17
	运行在以下环境
	系统	ubuntu_16.04.7_lts	tiff	*		Up to (excluding) 2019-04-17
	运行在以下环境
	系统	ubuntu_18.04.5_lts	tiff	*		Up to (excluding) 2019-04-17
	运行在以下环境
	系统	ubuntu_18.10	tiff	*		Up to (excluding) 2019-04-17

攻击路径

远程
攻击复杂度

复杂
权限要求

无需权限
影响范围

全局影响
EXP成熟度

未验证
补丁情况

没有补丁
数据保密性

无影响
数据完整性

无影响
服务器危害

DoS
全网数量

N/A

CWE-ID	漏洞类型
CWE-476	空指针解引用