7 vulnerabilidades en LibTIFF y no hay parche o mitigación

LibTIFF es una biblioteca para leer y escribir archivos de formato de archivo de imagen etiquetada. El conjunto también contiene herramientas de línea de comandos para procesar archivos TIFF. Se distribuye en código fuente y se puede encontrar como versiones binarias para todo tipo de plataformas. Este boletín de seguridad contiene información sobre 7 vulnerabilidades en LibTIFF.

1) Lectura fuera de los límites

CVE-ID: CVE-2022-2953

Descripción

La vulnerabilidad permite que un atacante remoto realice un ataque de denegación de servicio (DoS).La vulnerabilidad existe debido a una condición límite en la función extractImageSection() en tools/tiffcrop.c. Un atacante remoto puede pasar un archivo TIFF especialmente diseñado a la aplicación, desencadenar un error de lectura fuera de los límites y realizar un ataque de denegación de servicio (DoS).

Mitigación

No hay parches disponible para abordar esta vulnerabilidad.

Versiones de software vulnerables

Biblioteca TIFF: 3.4 – 4.6.1


2) Escritura fuera de los límites

CVE-ID: CVE-2022-3597

Descripción

La vulnerabilidad permite que un atacante remoto comprometa un sistema vulnerable.

La vulnerabilidad existe debido a un error de límite al procesar imágenes TIFF dentro de la función _TIFFmemcpy() en libtiff/tif_unix.c. Un atacante remoto puede pasar un archivo TIFF especialmente diseñado a la aplicación, desencadenar una escritura fuera de los límites y ejecutar código arbitrario en el sistema de destino.

Mitigación

No hay parches disponible para abordar esta vulnerabilidad.

Versiones de software vulnerables

Biblioteca TIFF: 3.4 – 4.6.1


3) Escritura fuera de los límites

CVE-ID: CVE-2022-3626

Descripción

La vulnerabilidad permite que un atacante remoto comprometa un sistema vulnerable.

La vulnerabilidad existe debido a un error de límite al procesar imágenes TIFF dentro de la función _TIFFmemset() en libtiff/tif_unix.c. Un atacante remoto puede pasar un archivo TIFF especialmente diseñado a la aplicación, desencadenar una escritura fuera de los límites y ejecutar código arbitrario en el sistema de destino.

Mitigación

No hay parches disponible para abordar esta vulnerabilidad

.Versiones de software vulnerables

Biblioteca TIFF: 3.4 – 4.6.1


4) Escritura fuera de los límites

CVE-ID: CVE-2022-3627

Descripción

La vulnerabilidad permite que un atacante remoto comprometa un sistema vulnerable.

La vulnerabilidad existe debido a un error de límite al procesar imágenes TIFF dentro de la función _TIFFmemcpy() en libtiff/tif_unix.c. Un atacante remoto puede pasar un archivo TIFF especialmente diseñado a la aplicación, desencadenar una escritura fuera de los límites y ejecutar código arbitrario en el sistema de destino.

Mitigación

No hay parches disponible para abordar esta vulnerabilidad.

Versiones de software vulnerables

Biblioteca TIFF: 3.4 – 4.6.1


5) Lectura fuera de los límites

CVE-ID: CVE-2022-3599

Descripción

La vulnerabilidad permite que un atacante remoto realice un ataque de denegación de servicio (DoS).

La vulnerabilidad existe debido a una condición límite en la función writeSingleSection() en tools/tiffcrop.c. Un atacante remoto puede pasar un archivo TIFF especialmente diseñado a la aplicación, desencadenar un error de lectura fuera de los límites y realizar un ataque de denegación de servicio (DoS).

Mitigación

No hay parches disponible para abordar esta vulnerabilidad.

Versiones de software vulnerables

Biblioteca TIFF: 3.4 – 4.6.1


6) Escritura fuera de los límites

CVE-ID: CVE-2022-3598

Descripción

La vulnerabilidad permite que un atacante remoto comprometa un sistema vulnerable.

La vulnerabilidad existe debido a un error de límite al procesar imágenes TIFF dentro de la función extractContigSamplesShifted24bits() en tools/tiffcrop.c. Un atacante remoto puede pasar una imagen TIFF especialmente diseñada a la aplicación, desencadenar una escritura fuera de los límites y ejecutar código arbitrario en el sistema de destino.

Mitigación

No hay parches disponible para abordar esta vulnerabilidad.

Versiones de software vulnerables

Biblioteca TIFF: 3.4 – 4.6.1


7) Desbordamiento de búfer basado en montón

CVE-ID: CVE-2022-3570

Descripción

La vulnerabilidad permite que un atacante remoto ejecute código arbitrario en el sistema de destino.

La vulnerabilidad existe debido a un error de límite en la utilidad tiffcrop.c en libtiff al procesar archivos TIFF. Un atacante remoto puede pasar un archivo especialmente diseñado a la aplicación, desencadenar un desbordamiento de búfer basado en montón y ejecutar código arbitrario en el sistema de destino.

La explotación exitosa de esta vulnerabilidad puede resultar en un compromiso completo del sistema vulnerable.

Mitigación

No hay parches disponible para abordar esta vulnerabilidad.

Versiones de software vulnerables

Biblioteca TIFF: 3.9 – 4.6.1