偵測

MiracleLinux 4libexif-0.6.21-5.AXS4 (AXSA:2012-974:01)

high Nessus Plugin ID 283952

語言:

概要

遠端 MiracleLinux 主機缺少一個或多個安全性更新。

說明

遠端 MiracleLinux 4 主機已安裝受到多個弱點影響的套件如 AXSA:2012-974:01 公告中所提及。

 大部分的數位相機都會產生 EXIF 檔案,這些檔案是具有額外標籤的 JPEG 檔案,其中包含有關影像的資訊。EXIF 程式庫可讓您剖析 EXIF 檔案並讀取這些標籤的資料。
 此版本修正的安全性問題
 CVE-2012-2812 在 0.6.21 之前的 EXIF Tag Parsing Library (即 libexif) 中exif-entry.c 內的 exif_entry_get_value 函式允許遠端攻擊者透過以下方式造成拒絕服務 (超出邊界讀取)或可能從處理程序記憶體取得敏感資訊影像中的特製 EXIF 標籤。
 CVE-2012-2813 在 0.6.21 之前版本的 EXIF Tag Parsing Library (即 libexif) 中exif-entry.c 的 exif_convert_utf16_to_utf8 函式允許遠端攻擊者透過以下方式造成拒絕服務 (超出邊界讀取) 或可能從處理程序記憶體取得敏感資訊影像中的特製 EXIF 標籤。
 CVE-2012-2814 在 EXIF Tag Parsing Library (即 libexif) 中exif-entry.c 內 exif_entry_format_value 函式的緩衝區溢位 0.6.20 允許遠端攻擊者透過影像中的特製 EXIF 標籤造成拒絕服務或可能執行任意程式碼。
 CVE-2012-2836 在 0.6.21 之前的 EXIF Tag Parsing Library (即 libexif) 中exif-data.c 內的 exif_data_load_data 函式允許遠端攻擊者透過以下方式造成拒絕服務 (超出邊界讀取)或可能從處理程序記憶體取得敏感資訊影像中的特製 EXIF 標籤。
 CVE-2012-2837 在 0.6.21 之前的 EXIF Tag Parsing Library (即 libexif) 中olympus/mnote-olympus-entry.c 內的 mnote_olympus_entry_get_value 函式允許遠端攻擊者透過特製的影像造成拒絕服務 (除以零錯誤)在格式化 EXIF 製作者附註標籤期間未正確處理的 EXIF 標籤。
 CVE-2012-2840 在 0.6.21 之前的 EXIF Tag Parsing Library (即 libexif) 中exif-entry.c 的 exif_convert_utf16_to_utf8 函式內有差一錯誤允許遠端攻擊者透過特製 EXIF 標籤造成拒絕服務或可能執行任意程式碼影像。
 CVE-2012-2841 在 EXIF Tag Parsing Library (即 libexif) 中exif-entry.c 內 exif_entry_get_value 函式中的整數反向溢位 0.6.20 可能允許遠端攻擊者在格式化 EXIF 標籤期間透過涉及特製緩衝區大小參數的向量執行任意程式碼進而導致堆積型緩衝區溢位。

Tenable 已直接從 MiracleLinux 安全性公告擷取前置描述區塊。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的 libdvdread、libexif 和/或 libexif-devel 套件。

另請參閱

https://tsn.miraclelinux.com/en/node/3531

Plugin 詳細資訊

嚴重性: High

ID: 283952

檔案名稱: miracle_linux_AXSA-2012-974.nasl

版本: 1.1

類型: local

已發布: 2026/1/14

已更新: 2026/1/14

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

Vendor

Vendor Severity: High

CVSS v2

風險因素: High

基本分數: 7.5

時間性分數: 5.5

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 評分資料來源: CVE-2012-2841

CVSS v3

風險因素: High

基本分數: 8.8

時間性分數: 7.7

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

CVSS 評分資料來源: CVE-2012-2814

弱點資訊

CPE: p-cpe:/a:miracle:linux:libexif, cpe:/o:miracle:linux:4, p-cpe:/a:miracle:linux:libexif-devel, p-cpe:/a:miracle:linux:libdvdread

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2012/12/11

弱點發布日期: 2012/7/13

參考資訊

CVE: CVE-2012-2812, CVE-2012-2813, CVE-2012-2814, CVE-2012-2836, CVE-2012-2837, CVE-2012-2840, CVE-2012-2841