Vigil@nce - LibTIFF : déni de service via Lines
novembre 2015 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut créer une image malveillante, et l’envoyer vers
une application liée à LibTIFF, afin de mener un déni de
service.
Produits concernés : LibTIFF.
Gravité : 2/4.
Date création : 24/09/2015.
DESCRIPTION DE LA VULNÉRABILITÉ
La bibliothèque LibTIFF alloue de la mémoire (nombre de lignes
fois nombre de colonnes) pour stocker les images.
Cependant, si le nombre de lignes d’une image est très grand,
LibTIFF n’empêche pas l’allocation de mémoire énorme, ce qui
conduit à une grande consommation de ressources, et
éventuellement à l’arrêt de l’application par OOM-Killer (tueur
Out Of Memory).
Un attaquant peut donc créer une image malveillante, et l’envoyer
vers une application liée à LibTIFF, afin de mener un déni de
service.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/LibTIFF-deni-de-service-via-Lines-17966