漏洞信息详情
Exiv2 缓冲区错误漏洞
- CNNVD编号:CNNVD-201806-866
- 危害等级: 高危
- CVE编号: CVE-2018-12264
- 漏洞类型: 输入验证错误
- 发布时间: 2018-06-14
- 威胁类型: 远程
- 更新时间: 2020-04-07
- 厂 商: canonical
- 漏洞来源: Red Hat
漏洞简介
Exiv2是软件开发者Andreas Huggel所研发的一套用于管理图像元数据的C++库和命令行应用程序,它提供了读取和写入EXIF、IPTC和XMP多种格式的图像元数据。
Exiv2 0.26版本中的preview.cpp文件的‘LoaderTiff::getData()’函数存在越界读取漏洞。攻击者可借助特制的文件利用该漏洞在系统上执行任意代码。
漏洞公告
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/Exiv2/exiv2/issues/366
参考网址
来源:MLIST
链接:https://lists.debian.org/debian-lts-announce/2018/06/msg00010.HTML
来源:GENTOO
链接:https://security.gentoo.org/glsa/201811-14
来源:UBUNTU
链接:https://usn.ubuntu.com/3700-1/
来源:REDHAT
链接:https://access.redhat.com/errata/RHSA-2019:2101
来源:DEBIAN
链接:https://www.debian.org/security/2018/dsa-4238
来源:CONFIRM
链接:https://github.com/Exiv2/exiv2/issues/366
来源:CONFIRM
链接:https://github.com/TeamSeri0us/pocs/blob/master/exiv2/2-out-of-read-Poc
来源:access.redhat.com
链接:https://access.redhat.com/errata/RHSA-2019:2101
来源:www.auscert.org.au
链接:https://www.auscert.org.au/bulletins/ESB-2020.1209/
来源:packetstormsecurity.com
链接:https://packetstormsecurity.com/files/153953/Red-Hat-Security-Advisory-2019-2101-01.HTML
来源:www.auscert.org.au
链接:https://www.auscert.org.au/bulletins/ESB-2019.3003/
受影响实体
- Canonical Ubuntu_linux:18.04:~~Lts~~~
- Canonical Ubuntu_linux:17.10
- Canonical Ubuntu_linux:16.04:~~Lts~~~
- Canonical Ubuntu_linux:14.04:~~Lts~~~
补丁
- Exiv2 数字错误漏洞的修复措施
评论