Vulnérabilité dans le composant libexif de Debian
Date de publication :
Une vulnérabilité a été découverte dans libexif, une bibliothèque permettant d’analyser, éditer et enregistrer des données EXIF. Elle peut permettre à un attaquant distant de provoquer un déni de service ou une exécution de code arbitraire.
CVE-2019-9278 [Score CVSS v3 : 8.8] : Une vulnérabilité de type écriture hors-limites (out of bounds write) a été découverte dans libexif, elle est due à un dépassement d’entier (integer overflow). Un attaquant pourrait exploiter cette vulnérabilité avec une image forgée et ainsi provoquer un déni de service ou une exécution de code arbitraire.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Déni de service
- Exécution de code arbitraire
Criticité
- Score CVSS v3 : 8.8
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est actuellement disponible
Composants vulnérables
- libexif version 0.6.21
CVE
- CVE-2019-9278
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour les paquets libexif vers une version non vulnérable. Liste disponible ici.
Solution de contournement
- Aucune solution de contournement n’a été fournie