Vulnérabilités dans libexif
Date de publication :
Plusieurs vulnérabilités ont été découvertes dans libexif, une bibliothèque permettant d’analyser, éditer et enregistrer des données EXIF. Elles peuvent permettre à un attaquant de provoquer un déni de service et une fuite de données.
CVE-2020-13112 [Score CVSS v3 : 9.1] : Une vulnérabilité de type lecture hors-limites a été découverte dans la fonctionnalité EXIF MakerNote de libexif. Elle peut permettre à un attaquant distant de provoquer une fuite de données et un déni de service.
CVE-2020-13113 [Score CVSS v3 : 8.2] : Une vulnérabilité de type “use-after-free” a été a été découverte dans la fonctionnalité EXIF MakerNote de libexif. Elle peut permettre à un attaquant distant de provoquer un déni de service.
CVE-2020-13314 [Score CVSS v3 : 7.5] : Une vulnérabilité due à un manque de restrictions dans la taille des données traitées par Canon EXIF MakerNote dans libexif peut conduire à la consommation excessive de ressources pour le décodage de données EXIF. Un attaquant peut exploiter cette vulnérabilité afin de provoquer un déni de service.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Déni de service
- Fuite de données
Criticité
- Score CVSS v3 : 9.1 au maximum
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible
Composants vulnérables
- libexif toutes versions jusqu’à la 0.6.22
CVE
- CVE-2020-13112
- CVE-2020-13113
- CVE-2020-13114
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour libexif vers la version 0.6.22 (ou supérieure)
Solution de contournement
Aucune solution de contournement n’est disponible