Vulnerabilidad en el archivo libtiff/tif_unix.c:340 en _TIFFmemset en LibTIFF (CVE-2022-3626)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-787
Escritura fuera de límites
Fecha de publicación:
21/10/2022
Última modificación:
07/05/2025
Descripción
LibTIFF versión 4.4.0, presenta una escritura fuera de límites en _TIFFmemset en el archivo libtiff/tif_unix.c:340 cuando se llama desde processCropSelections, tools/tiffcrop.c:7619, lo que permite a atacantes causar una denegación de servicio por medio de un archivo tiff diseñado. Para los usuarios que compilan libtiff desde las fuentes, la corrección está disponible con el commit 236b7191
Impacto
Puntuación base 3.x
5.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:libtiff:libtiff:*:*:*:*:*:*:*:* | 4.4.0 (incluyendo) | |
| cpe:2.3:a:netapp:active_iq_unified_manager:-:*:*:*:*:vmware_vsphere:*:* | ||
| cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-3626.json
- https://gitlab.com/libtiff/libtiff/-/commit/236b7191f04c60d09ee836ae13b50f812c841047
- https://gitlab.com/libtiff/libtiff/-/issues/426
- https://lists.debian.org/debian-lts-announce/2023/01/msg00018.html
- https://security.netapp.com/advisory/ntap-20230110-0001/
- https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-3626.json
- https://gitlab.com/libtiff/libtiff/-/commit/236b7191f04c60d09ee836ae13b50f812c841047
- https://gitlab.com/libtiff/libtiff/-/issues/426
- https://lists.debian.org/debian-lts-announce/2023/01/msg00018.html
- https://security.netapp.com/advisory/ntap-20230110-0001/