低危 bibutils up to 6.2 serialno.c addsn 拒绝服务漏洞

CVE编号

CVE-2018-10773

利用情况

暂无

补丁情况

官方补丁

披露时间

2018-05-07

漏洞描述

bibutils是一款文档格式转换工具。 bibutils 6.2及之前版本中的libbibcore.a文件的fields.c文件的‘addsn’函数存在安全漏洞。远程攻击者可利用该漏洞造成拒绝服务（空指针逆向引用和应用程序崩溃）。

解决建议

厂商尚未提供漏洞修复方案，请关注厂商主页更新：https://sourceforge.net/p/bibutils/home/Bibutils/

参考链接
https://docs.google.com/document/d/1k598A16gV9HPwFXnYkyrPwoRbnbFX6LAMRyzb_dxLCM/edit

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	bibutils_project	bibutils	*		Up to (including) 6.2
	运行在以下环境
	系统	debian_10	bibutils	*		Up to (including) 6.2-1
	运行在以下环境
	系统	debian_11	bibutils	*		Up to (excluding) 6.10-2
	运行在以下环境
	系统	debian_12	bibutils	*		Up to (excluding) 6.10-2
	运行在以下环境
	系统	debian_9	bibutils	*		Up to (including) 4.12-5
	运行在以下环境
	系统	debian_sid	bibutils	*		Up to (excluding) 6.10-2
	运行在以下环境
	系统	fedora_27	bibutils	*		Up to (excluding) 6.6-1.fc27
	运行在以下环境
	系统	fedora_28	ghc-hakyll-devel	*		Up to (excluding) 6.6-1.fc28
	运行在以下环境
	系统	fedora_EPEL_7	bibutils-libs	*		Up to (excluding) 6.6-1.el7

阿里云评分 3.1

• 攻击路径 远程
• 攻击复杂度 复杂
• 权限要求 无需权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 100

CWE-ID	漏洞类型
CWE-476	空指针解引用

Exp相关链接

- avd.aliyun.com