FreeImage 3.18.0 TIFF File PluginTIFF.cpp TIFFReadDirectory 拒绝服务漏洞

CVE编号

CVE-2019-12213

利用情况

暂无

补丁情况

官方补丁

披露时间

2019-05-21

漏洞描述

FreeImage是一个跨平台的用于支持流行的图形图像格式的开源库。 FreeImage 3.18.0版本中存在资源管理错误漏洞。该漏洞源于网络系统或产品对系统资源（如内存、磁盘空间、文件等）的管理不当。

解决建议

厂商尚未提供漏洞修复方案，请关注厂商主页更新：
http://freeimage.sourceforge.net/

参考链接
https://lists.debian.org/debian-lts-announce/2019/12/msg00012.html
https://lists.fedoraproject.org/archives/list/[email protected]...
https://lists.fedoraproject.org/archives/list/[email protected]...
https://seclists.org/bugtraq/2019/Dec/45
https://security.gentoo.org/glsa/202107-02
https://sourceforge.net/p/freeimage/discussion/36111/thread/e06734bed5/
https://usn.ubuntu.com/4529-1/
https://www.debian.org/security/2019/dsa-4593

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	freeimage_project	freeimage	3.18.0	-
	运行在以下环境
	系统	alpine_3.11	freeimage	*		Up to (excluding) 3.18.0-r2
	运行在以下环境
	系统	alpine_3.12	freeimage	*		Up to (excluding) 3.18.0-r2
	运行在以下环境
	系统	alpine_3.13	freeimage	*		Up to (excluding) 3.18.0-r2
	运行在以下环境
	系统	alpine_3.14	freeimage	*		Up to (excluding) 3.18.0-r2
	运行在以下环境
	系统	alpine_3.15	freeimage	*		Up to (excluding) 3.18.0-r2
	运行在以下环境
	系统	alpine_edge	freeimage	*		Up to (excluding) 3.18.0-r2
	运行在以下环境
	系统	debian_10	freeimage	*		Up to (excluding) 3.18.0+ds2-1+deb10u1
	运行在以下环境
	系统	debian_8	freeimage	*		Up to (excluding) 3.15.4-4.2+deb8u1
	运行在以下环境
	系统	debian_9	freeimage	*		Up to (excluding) 3.17.0+ds1-5+deb9u1
	运行在以下环境
	系统	fedora_30	freeimage	*		Up to (excluding) 3.18.0-6.fc30
	运行在以下环境
	系统	fedora_31	freeimage	*		Up to (excluding) 3.18.0-6.fc31
	运行在以下环境
	系统	ubuntu_18.04	freeimage	*		Up to (excluding) 3.17.0+ds1-5+deb9u1build0.18.04.1
查看完整数据

阿里云评分 3.1

• 攻击路径 远程
• 攻击复杂度 复杂
• 权限要求 无需权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 100

CWE-ID 漏洞类型 CWE-674 未经控制的递归