Vulnerabilidad en el archivo libtiff/tif_unix.c:346 en _TIFFmemcpy en LibTIFF (CVE-2022-3627)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-787
Escritura fuera de límites
Fecha de publicación:
21/10/2022
Última modificación:
07/05/2025
Descripción
LibTIFF versión 4.4.0, presenta una escritura fuera de límites en _TIFFmemcpy en el archivo libtiff/tif_unix.c:346 cuando se llama desde extractImageSection, tools/tiffcrop.c:6860, permitiendo a atacantes causar una denegación de servicio por medio de un archivo tiff diseñado. Para los usuarios que compilan libtiff desde las fuentes, la corrección está disponible con el commit 236b7191
Impacto
Puntuación base 3.x
5.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:libtiff:libtiff:*:*:*:*:*:*:*:* | 4.4.0 (incluyendo) | |
| cpe:2.3:a:netapp:active_iq_unified_manager:-:*:*:*:*:vmware_vsphere:*:* | ||
| cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:11.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-3627.json
- https://gitlab.com/libtiff/libtiff/-/commit/236b7191f04c60d09ee836ae13b50f812c841047
- https://gitlab.com/libtiff/libtiff/-/issues/411
- https://lists.debian.org/debian-lts-announce/2023/01/msg00018.html
- https://security.netapp.com/advisory/ntap-20230110-0001/
- https://www.debian.org/security/2023/dsa-5333
- https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-3627.json
- https://gitlab.com/libtiff/libtiff/-/commit/236b7191f04c60d09ee836ae13b50f812c841047
- https://gitlab.com/libtiff/libtiff/-/issues/411
- https://lists.debian.org/debian-lts-announce/2023/01/msg00018.html
- https://security.netapp.com/advisory/ntap-20230110-0001/
- https://www.debian.org/security/2023/dsa-5333