ГлавнаяБаза уязвимостей БДУ → BDU:2023-05285
7.8высокая

BDU:2023-05285 (CVE-2022-40090)

Уязвимость функции TIFFReadDirectory библиотеки LibTIFF, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2023-09-07
Описание

Уязвимость функции TIFFReadDirectory библиотеки LibTIFF связана с выполнением цикла с недоступным условием выхода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (6)Red Hat Enterprise Linux (7)Red Hat Enterprise Linux (8)Debian GNU/Linux (10)Debian GNU/Linux (11)Debian GNU/Linux (12)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Альт 8 СПLibTIFF (до 4.4.0)АЛЬТ СП 10
Способ устранения

Использование рекомендаций:
Для LibTIFF:
https://gitlab.com/libtiff/libtiff/-/issues/455
https://gitlab.com/libtiff/libtiff/-/merge_requests/386
https://gitlab.com/libtiff/libtiff/-/commit/d093eb5d961e21ba51420bc22382c514683a4d91 (v4.5.0rc1)

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-40090

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-40090

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Для ОС Astra Linux:
обновить пакет tiff до 4.1.0+git191117-2~deb10u9.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17

Для ОС Astra Linux:
обновить пакет tiff до 4.1.0+git191117-2~deb10u9.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://gitlab.com/libtiff/libtiff/-/merge_requests/386https://gitlab.com/libtiff/libtiff/-/issues/455https://nvd.nist.gov/vuln/detail/CVE-2022-40090https://security-tracker.debian.org/tracker/CVE-2022-40090https://access.redhat.com/security/cve/CVE-2022-40090https://altsp.su/obnovleniya-bezopasnosti/https://altsp.su/obnovleniya-bezopasnosti/https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17
Проверьте безопасность своего сайта и почты → Полная проверка домена