远程 Debian 10 主机上安装的程序包受到 dla-3382 公告中提及的多个漏洞影响。

  - OpenImageIO master-branch-9aeece7a 和 v2.3.19.0 版 RLA 格式解析器中存在堆越界读取漏洞，具体而言，该漏洞位于处理游程编码字节跨度的方式中。不规范的 RLA 文件可导致越界读取堆元数据，进而导致敏感信息泄漏。攻击者可提供恶意路径来触发此漏洞。(CVE-2022-36354)

  - OpenImageIO master-branch-9aeece7a 和 v2.3.19.0 版 TIFF 图像解析器的平铺解码代码中存在一个基于堆的缓冲区溢出漏洞。特制的 TIFF 文件可导致越界内存损坏，从而导致任意代码执行。攻击者可提供恶意路径来触发此漏洞。(CVE-2022-41639)

  - OpenImageIO Project OpenImageIO v2.4.4.2 版 DDS 扫描线解析功能中存在代码执行漏洞。特制的 .dds 可导致堆缓冲区溢出。攻击者可提供恶意路径来触发此漏洞。(CVE-2022-41838)

  - OpenImageIO v2.3.19.0 版处理 TIFF 图像文件中字符串字段的方式中存在越界读取漏洞。特制的 TIFF 文件可导致信息泄露。攻击者可提供恶意路径来触发此漏洞。(CVE-2022-41977)

  - OpenImageIO v2.3.19.0 版的 TGA 文件格式解析器中存在基于堆栈的缓冲区溢出漏洞。
    特别构建的 targa 文件可导致对进程堆栈的越界读取和写入，进而导致任意代码执行。攻击者可提供恶意路径来触发此漏洞。
    (CVE-2022-41981)

  - OpenImageIO Project OpenImageIO v2.3.19.0 版的 OpenImageIO: : decode_iptc_iim() 功能中存在信息泄露漏洞。特别构建的 TIFF 文件可导致敏感信息泄露。攻击者可提供恶意路径来触发此漏洞。
    (CVE-2022-41988)

  - OpenImageIO Project OpenImageIO v2.3.19.0 和 v2.4.4.2 版的 DDS 本机平铺读取功能中存在一个拒绝服务漏洞。特制的 .dds 可导致拒绝服务。攻击者可提供恶意路径来触发此漏洞。(CVE-2022-41999)

  - OpenImageIO Project OpenImageIO v2.4.4.2 版的 DPXOutput: : close() 功能中存在信息泄露漏洞。特别构建的 ImageOutput 对象可导致泄漏堆数据。攻击者可提供恶意输入来触发此漏洞。(CVE-2022-43592)

  - OpenImageIO Project OpenImageIO v2.4.4.2 版的 DPXOutput: : close() 功能中存在拒绝服务漏洞。特别构建的 ImageOutput 对象可导致空指针取消引用。攻击者可提供恶意输入来触发此漏洞。(CVE-2022-43593)

  - OpenImageIO Project OpenImageIO v2.4.4.2 版的图像输出关闭功能中存在多个拒绝服务漏洞。特别构建的 ImageOutput 对象可导致多种空指针取消引用。攻击者可提供恶意的多种输入以触发这些漏洞。此漏洞适用于写入 .bmp 文件。(CVE-2022-43594)

  - OpenImageIO Project OpenImageIO v2.4.4.2 版的图像输出关闭功能中存在多个拒绝服务漏洞。特别构建的 ImageOutput 对象可导致多种空指针取消引用。攻击者可提供恶意的多种输入以触发这些漏洞。此漏洞适用于写入 .fits 文件。(CVE-2022-43595)

  - OpenImageIO Project OpenImageIO v2.4.4.2 版的 IFFOutput 通道交错功能中存在信息泄露漏洞。特别构建的 ImageOutput 对象可导致泄漏堆数据。攻击者可提供恶意输入来触发此漏洞。(CVE-2022-43596)

  - OpenImageIO Project OpenImageIO v2.4.4.2 版的 IFFOutput 对齐填充功能中存在多个内存损坏漏洞。特别构建的 ImageOutput 对象可导致任意代码执行。攻击者可提供恶意输入以触发这些漏洞。当“m_spec.format”为“TypeDesc: : UINT8”时，会出现此漏洞。(CVE-2022-43597)

  - OpenImageIO Project OpenImageIO v2.4.4.2 版的 IFFOutput 对齐填充功能中存在多个内存损坏漏洞。特别构建的 ImageOutput 对象可导致任意代码执行。攻击者可提供恶意输入以触发这些漏洞。当“m_spec.format”为“TypeDesc: :UINT16”时，会出现此漏洞。(CVE-2022-43598)

  OpenImageIO Project OpenImageIO v2.4.4.2 版的 IFFOutput: : close() 功能中存在多个代码执行漏洞。特别构建的 ImageOutput 对象可导致泄漏堆数据。
    攻击者可提供恶意输入以触发这些漏洞。当“xmax”变量被设为“0xFFFF”，且“m_spec.format”为“TypeDesc: : UINT8”时，会出现此漏洞 (CVE-2022-43599)

  OpenImageIO Project OpenImageIO v2.4.4.2 版的 IFFOutput: : close() 功能中存在多个代码执行漏洞。特别构建的 ImageOutput 对象可导致泄漏堆数据。
    攻击者可提供恶意输入以触发这些漏洞。当“xmax”变量被设为“0xFFFF”，且“m_spec.format”为“TypeDesc: : UINT16”时，会出现此漏洞 (CVE-2022-43600)

  OpenImageIO Project OpenImageIO v2.4.4.2 版的 IFFOutput: : close() 功能中存在多个代码执行漏洞。特别构建的 ImageOutput 对象可导致泄漏堆数据。
    攻击者可提供恶意输入以触发这些漏洞。当“ymax”变量被设为“0xFFFF”，且“m_spec.format”为“TypeDesc: :UINT16”时，会出现此漏洞 (CVE-2022-43601)

  OpenImageIO Project OpenImageIO v2.4.4.2 版的 IFFOutput: : close() 功能中存在多个代码执行漏洞。特别构建的 ImageOutput 对象可导致泄漏堆数据。
    攻击者可提供恶意输入以触发这些漏洞。当“ymax”变量被设为“0xFFFF”，且“m_spec.format”为“TypeDesc: : UINT8”时，会出现此漏洞 (CVE-2022-43602)

  - OpenImageIO Project OpenImageIO v2.4.4.2 版的 DZfileOutput: : close() 功能中存在拒绝服务漏洞。特别构建的 ImageOutput 对象可导致拒绝服务。攻击者可提供恶意路径来触发此漏洞。(CVE-2022-43603)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

检测

Debian DLA-3382-1：openimageio - LTS 安全更新

critical Nessus 插件 ID 174042

版本 1.2