中危 libdwarf 20151114 ELF Object File dwarf_frame2.c dwarf_read_cie_fde_prefix 拒绝服务漏洞

CVE编号

CVE-2016-2091

利用情况

暂无

补丁情况

没有补丁

披露时间

2016-02-09

漏洞描述

Samsung libdwarf是一套用于读取和写入DWARF2调试信息的工具。 libdwarf存在安全漏洞，允许攻击者可利用该漏洞使应用程序崩溃或执行任意代码。

解决建议

目前没有详细的解决方案提供：http://sourceforge.net/projects/libdwarf/

参考链接
http://www.openwall.com/lists/oss-security/2016/01/19/3
http://www.openwall.com/lists/oss-security/2016/01/28/8

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	libdwarf_project	libdwarf	2015-11-14	-
	运行在以下环境
	系统	debian	DPKG	*		Up to (excluding) 20160507-1
	运行在以下环境
	系统	debian_10	dwarfutils	*		Up to (excluding) 20160507-1
	运行在以下环境
	系统	debian_11	dwarfutils	*		Up to (excluding) 20160507-1
	运行在以下环境
	系统	debian_12	dwarfutils	*		Up to (excluding) 20160507-1
	运行在以下环境
	系统	debian_7	dwarfutils	*		Up to (excluding) 20120410-2+deb7u2
	运行在以下环境
	系统	debian_8	dwarfutils	*		Up to (excluding) 20120410-2+deb8u1
	运行在以下环境
	系统	debian_sid	dwarfutils	*		Up to (excluding) 20160507-1
	运行在以下环境
	系统	fedora_24	libdwarf-debuginfo	*		Up to (excluding) 20160507-1.fc24
	运行在以下环境
	系统	ubuntu_14.04	dwarfutils	*		Up to (excluding) 20120410-2+deb7u2build0.14.04.1
	运行在以下环境
	系统	ubuntu_14.04.6_lts	dwarfutils	*		Up to (excluding) 20120410-2+deb7u2build0.14.04.1
	运行在以下环境
	系统	ubuntu_16.04	dwarfutils	*		Up to (excluding) 20120410-2+deb7u2build0.16.04.1
	运行在以下环境
	系统	ubuntu_16.04.7_lts	dwarfutils	*		Up to (excluding) 20120410-2+deb7u2build0.16.04.1

阿里云评分 6.5

• 攻击路径 远程
• 攻击复杂度 复杂
• 权限要求 无需权限
• 影响范围 全局影响
• EXP成熟度 未验证
• 补丁情况 没有补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 DoS
• 全网数量 N/A

CWE-ID	漏洞类型
CWE-125	跨界内存读

Exp相关链接

- avd.aliyun.com