操作系统--麒麟信安操作系统,国产操作系统,麒麟信安云桌面—

公告ID (KylinSec-SA-2025-2561)

摘要:

LibRaw security update

安全等级: Low

公告ID: KylinSec-SA-2025-2561

发布日期: 2025年6月27日

关联CVE: CVE-2025-43964 CVE-2025-43963 CVE-2025-43962 CVE-2025-43961

详细介绍

1. 漏洞描述

LibRaw 是一个用于读取数码相机 RAW 文件（CRW/CR2、NEF、RAF 等，几乎支持所有 RAW 格式）的库。它特别注重正确获取后续 RAW 转换所需的数据。该库旨在集成到 RAW 转换器、数据分析工具以及其他使用 RAW 文件作为初始数据的程序中。

安全修复项：

在 LibRaw 0.21.4 之前版本中，metadata/tiff.cpp 的 Fujifilm 0xf00c 标签解析器存在越界读取问题。（CVE-2025-43961）

在 LibRaw 0.21.4 之前版本中，decoders/load_mfbacks.cpp 的 phase_one_correct 函数在处理 0x412 标签时，由于 w0 或 w1 值过大或 frac 和 mult 计算问题，导致越界读取。（CVE-2025-43962）

在 LibRaw 0.21.4 之前版本中，decoders/load_mfbacks.cpp 的 phase_one_correct 函数在处理 0x041f 标签时，由于未检查 split_col 和 split_row 值，可能导致缓冲区越界访问。（CVE-2025-43963）

在 LibRaw 0.21.4 之前版本中，decoders/load_mfbacks.cpp 的 phase_one_correct 函数在处理 0x412 标签时，未强制执行 w0 和 w1 的最小值。（CVE-2025-43964）

2. 影响范围

cve名称	产品	组件	是否受影响
CVE-2025-43964	V6	LibRaw	Fixed
CVE-2025-43964	KY3.4-5	LibRaw	Fixed
CVE-2025-43964	KY3.5.3	LibRaw	Fixed
CVE-2025-43963	V6	LibRaw	Fixed
CVE-2025-43963	KY3.4-5	LibRaw	Fixed
CVE-2025-43963	KY3.5.3	LibRaw	Fixed
CVE-2025-43962	V6	LibRaw	Fixed
CVE-2025-43962	KY3.4-5	LibRaw	Fixed
CVE-2025-43962	KY3.5.3	LibRaw	Fixed
CVE-2025-43961	V6	LibRaw	Fixed
CVE-2025-43961	KY3.4-5	LibRaw	Fixed
CVE-2025-43961	KY3.5.3	LibRaw	Fixed