1.修复的CVE ·CVE-2017-17724 描述：Exiv2是软件开发者Andreas Huggel所研发的一套用于管理图像元数据的C++库和命令行应用程序，它提供了读取和写入EXIF、IPTC和XMP多种格式的图像元数据。Exiv2 0.26版本中的iptc.cpp文件的‘Exiv2：：IptcData：：printStructure’函数存在越边界读取漏洞。远程攻击者可借助特制的TIFF文件利用该漏洞造成拒绝服务。 ·CVE-2018-10772 描述：Exiv2是软件开发者Andreas Huggel所研发的一套用于管理图像元数据的C++库和命令行应用程序，它提供了读取和写入EXIF、IPTC和XMP多种格式的图像元数据。Exiv2 0.26及之前版本中的pngimage.cpp文件的‘tEXtToDataBuf’函数存在安全漏洞。远程攻击者可借助特制的文件利用该漏洞造成拒绝服务（应用程序崩溃）。 ·CVE-2018-10958 描述：Exiv2是软件开发者Andreas Huggel所研发的一套用于管理图像元数据的C++库和命令行应用程序，它提供了读取和写入EXIF、IPTC和XMP多种格式的图像元数据。Exiv2 0.26版本中的types.cpp文件存在安全漏洞。攻击者可借助较大的值利用该漏洞造成拒绝服务。 ·CVE-2018-10998 描述：Exiv2是软件开发者Andreas Huggel所研发的一套用于管理图像元数据的C++库和命令行应用程序，它提供了读取和写入EXIF、IPTC和XMP多种格式的图像元数据。Exiv2 0.26版本中的jp2image.cpp文件的‘readMetadata’函数存在安全漏洞。远程攻击者可借助不正确的Safe：：add调用利用该漏洞造成拒绝服务。 ·CVE-2018-10999 描述：Exiv2是软件开发者Andreas Huggel所研发的一套用于管理图像元数据的C++库和命令行应用程序，它提供了读取和写入EXIF、IPTC和XMP多种格式的图像元数据。Exiv2 0.26版本中的‘Exiv2：：Internal：：PngChunk：：parseTXTChunk’函数存在基于堆的缓冲区越边界读取。目前尚无此漏洞的相关信息，请随时关注CNNVD或厂商公告。 ·CVE-2018-11037 描述：Exiv2是软件开发者Andreas Huggel所研发的一套用于管理图像元数据的C++库和命令行应用程序，它提供了读取和写入EXIF、IPTC和XMP多种格式的图像元数据。Exiv2 0.26版本中的pngimage.cpp文件的‘Exiv2：：PngImage：：printStructure’函数存在安全漏洞。远程攻击者可借助特制的文件利用该漏洞泄露信息。 ·CVE-2018-12264 描述：Exiv2是软件开发者Andreas Huggel所研发的一套用于管理图像元数据的C++库和命令行应用程序，它提供了读取和写入EXIF、IPTC和XMP多种格式的图像元数据。Exiv2 0.26版本中的preview.cpp文件的‘LoaderTiff：：getData()’函数存在越界读取漏洞。攻击者可借助特制的文件利用该漏洞在系统上执行任意代码。 ·CVE-2018-12265 描述：Exiv2是软件开发者Andreas Huggel所研发的一套用于管理图像元数据的C++库和命令行应用程序，它提供了读取和写入EXIF、IPTC和XMP多种格式的图像元数据。Exiv2 0.26版本中的preview.cpp文件的LoaderExifJpeg类存在整数溢出漏洞。攻击者可借助特制的文件利用该漏洞在系统上执行任意代码。 ·CVE-2018-14046 描述：Exiv2是软件开发者Andreas Huggel所研发的一套用于管理图像元数据的C++库和命令行应用程序，它提供了读取和写入EXIF、IPTC和XMP多种格式的图像元数据。Exiv2 0.26版本中的webpimage.cpp文件的‘WebPImage：：decodeChunks’函数存在缓冲区溢出漏洞。攻击者可利用该漏洞造成基于堆的缓冲区越界读取。 ·CVE-2018-17282 描述：Exiv2是软件开发者Andreas Huggel所研发的一套用于管理图像元数据的C++库和命令行应用程序，它提供了读取和写入EXIF、IPTC和XMP多种格式的图像元数据。Exiv2 0.26版本中的value.cpp文件的‘Exiv2：：DataValue：：copy’函数存在安全漏洞。攻击者可利用该漏洞造成拒绝服务（空指针逆向引用）。 ·CVE-2018-17581 描述：Exiv2是软件开发者Andreas Huggel所研发的一套用于管理图像元数据的C++库和命令行应用程序，它提供了读取和写入EXIF、IPTC和XMP多种格式的图像元数据。Exiv2 0.26版本中的crwimage_int.cpp文件的‘CiffDirectory：：readDirectory()’函数存在安全漏洞。攻击者可利用该漏洞造成拒绝服务（栈大量消耗）。 ·CVE-2018-18915 描述：Exiv2是软件开发者Andreas Huggel所研发的一套用于管理图像元数据的C++库和命令行应用程序，它提供了读取和写入EXIF、IPTC和XMP多种格式的图像元数据。Exiv2 0.27-RC1版本中的image.cpp文件的‘Exiv2：：Image：：printIFDStructure’函数存在安全漏洞。远程攻击者可利用该漏洞造成拒绝服务（无限循环）。 ·CVE-2018-19107 描述：Exiv2是软件开发者Andreas Huggel所研发的一套用于管理图像元数据的C++库和命令行应用程序，它提供了读取和写入EXIF、IPTC和XMP多种格式的图像元数据。Exiv2 0.26版本中的iptc.cpp文件的‘Exiv2：：IptcParser：：decode’函数存在基于堆的缓冲区溢出漏洞。攻击者可借助特制的PSD图像文件利用该漏洞造成拒绝服务（越界读取）。 ·CVE-2018-19108 描述：Exiv2是软件开发者Andreas Huggel所研发的一套用于管理图像元数据的C++库和命令行应用程序，它提供了读取和写入EXIF、IPTC和XMP多种格式的图像元数据。Exiv2 0.26版本中的psdimage.cpp文件的‘Exiv2：：PsdImage：：readMetadata’函数存在整数溢出漏洞。攻击者可借助特制的PSD图像文件利用该漏洞造成拒绝服务（无限循环）。 ·CVE-2018-19535 描述：Exiv2是软件开发者Andreas Huggel所研发的一套用于管理图像元数据的C++库和命令行应用程序，它提供了读取和写入EXIF、IPTC和XMP多种格式的图像元数据。Exiv2 0.26及之前版本中的pngchunk_int.cpp文件的‘PngChunk：：readRawProfile’函数存在安全漏洞。攻击者可借助特制的PNG文件利用该漏洞造成拒绝服务（基于堆的缓冲区越界读取和应用程序崩溃）。 ·CVE-2018-19607 描述：Exiv2是软件开发者Andreas Huggel所研发的一套用于管理图像元数据的C++库和命令行应用程序，它提供了读取和写入EXIF、IPTC和XMP多种格式的图像元数据。Exiv2 v0.27-RC2版本中的easyaccess.cpp文件的Exiv2：：isoSpeed存在安全漏洞。远程攻击者可借助特制的文件利用该漏洞造成拒绝服务（空指针逆向引用和应用程序崩溃）。 ·CVE-2018-20096 描述：Exiv2是软件开发者Andreas Huggel所研发的一套用于管理图像元数据的C++库和命令行应用程序，它提供了读取和写入EXIF、IPTC和XMP多种格式的图像元数据。Exiv2 0.27-RC3版本中的pngimage.cpp文件的‘Exiv2：：tEXtToDataBuf’函数存在基于堆的缓冲区越界读取漏洞。远程攻击者可借助特制的输入利用该漏洞造成拒绝服务。 ·CVE-2018-20097 描述：Exiv2是软件开发者Andreas Huggel所研发的一套用于管理图像元数据的C++库和命令行应用程序，它提供了读取和写入EXIF、IPTC和XMP多种格式的图像元数据。Exiv2 0.27-RC3版本中的tiffimage_int.cpp文件的‘Exiv2：：Internal：：TiffParserWorker：：findPrimaryGroups’函数存在安全漏洞。远程攻击者可借助特制的输入利用该漏洞造成拒绝服务（段错误）。 ·CVE-2018-20098 描述：Exiv2是软件开发者Andreas Huggel所研发的一套用于管理图像元数据的C++库和命令行应用程序，它提供了读取和写入EXIF、IPTC和XMP多种格式的图像元数据。Exiv2 0.27-RC3版本中的jp2image.cpp文件的‘Exiv2：：Jp2Image：：encodeJp2Header’函数存在基于堆的缓冲区越界读取漏洞。远程攻击者可借助特制的输入利用该漏洞造成拒绝服务。 ·CVE-2018-20099 描述：Exiv2是软件开发者Andreas Huggel所研发的一套用于管理图像元数据的C++库和命令行应用程序，它提供了读取和写入EXIF、IPTC和XMP多种格式的图像元数据。Exiv2 0.27-RC3版本中的jp2image.cpp文件的‘Exiv2：：Jp2Image：：encodeJp2Header’函数存在安全漏洞。远程攻击者可借助特制的输入利用该漏洞造成拒绝服务（无限循环）。 ·CVE-2018-4868 描述：Exiv2是软件开发者Andreas Huggel所研发的一套用于管理图像元数据的C++库和命令行应用程序，它提供了读取和写入EXIF、IPTC和XMP多种格式的图像元数据。Exiv2 0.26版本中的jp2image.cpp文件的‘Exiv2：：Jp2Image：：readMetadata’函数存在安全漏洞。远程攻击者可借助特制的文件利用该漏洞造成拒绝服务（过量内存分配）。 ·CVE-2018-8976 描述：Exiv2是软件开发者Andreas Huggel所研发的一套用于管理图像元数据的C++库和命令行应用程序，它提供了读取和写入EXIF、IPTC和XMP多种格式的图像元数据。Exiv2 0.26版本中的jpgimage.cpp文件存在安全漏洞。远程攻击者可借助特制的文件利用该漏洞造成拒绝服务（image.cpp文件的‘Exiv2：：Internal：：stringFormat’函数越边界读取）。 ·CVE-2018-8977 描述：Exiv2是软件开发者Andreas Huggel所研发的一套用于管理图像元数据的C++库和命令行应用程序，它提供了读取和写入EXIF、IPTC和XMP多种格式的图像元数据。Exiv2 0.26版本中的canonmn_int.cpp文件的‘Exiv2：：Internal：：printCsLensFFFF’函数存在安全漏洞。远程攻击者可借助特制的文件利用该漏洞造成拒绝服务（无效内存访问）。 ·CVE-2018-9305 描述：Exiv2是软件开发者Andreas Huggel所研发的一套用于管理图像元数据的C++库和命令行应用程序，它提供了读取和写入EXIF、IPTC和XMP多种格式的图像元数据。Exiv2 0.26版本中的iptc.c文件的‘IptcData：：printStructure’函数存在越界读取漏洞。远程攻击者可利用该漏洞造成拒绝服务（崩溃）或泄露信息。 ·CVE-2019-9143 描述：Exiv2是Andreas Huggel程序员的一套用于管理图像元数据的C++库和命令行应用程序。该产品提供了读取和写入EXIF、IPTC和XMP多种格式的图像元数据。Exiv2 0.27版本中的image.cpp文件的Exiv2：：Image：：printTiffStructure存在缓冲区错误漏洞。攻击者可借助特制的文件利用该漏洞造成拒绝服务（段错误和无限递归）。 2.受影响的软件包 ·中标麒麟高级服务器操作系统 V7 ·aarch64架构: exiv2、exiv2-devel、exiv2-doc、exiv2-libs ·x86_64架构: exiv2、exiv2-devel、exiv2-doc、exiv2-libs 3.软件包修复版本 ·中标麒麟高级服务器操作系统 V7 (aarch64、x86_64) exiv2-0.27.0-2.el7_6或以上版本 exiv2-devel-0.27.0-2.el7_6或以上版本 exiv2-doc-0.27.0-2.el7_6或以上版本 exiv2-libs-0.27.0-2.el7_6或以上版本 4.修复方法 方法一：配置源进行升级安装 1.打开软件包源配置文件，根据仓库地址进行修改。 仓库源地址： 中标麒麟高级服务器操作系统 V7 aarch64:https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/aarch64/ x86_64:https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/ 2.配置完成后执行更新命令进行升级，命令如下： yum update Packagename 方法二：下载安装包进行升级安装 通过软件包地址下载软件包，使用软件包升级命令根据受影响的软件包 列表进行升级安装, 命令如下： yum install Packagename 3.升级完成后是否需要重启服务或操作系统： CVE-2017-17724:需要重启 exiv2 以使漏洞修复生效。 CVE-2018-10772:需要重启 exiv2 以使漏洞修复生效。 CVE-2018-10958:需要重启 exiv2 以使漏洞修复生效。 CVE-2018-10998:需要重启 exiv2 以使漏洞修复生效。 CVE-2018-10999:需要重启 exiv2 以使漏洞修复生效。 CVE-2018-11037:需要重启 exiv2 以使漏洞修复生效。 CVE-2018-12264:需要重启 exiv2 以使漏洞修复生效。 CVE-2018-12265:需要重启 exiv2 以使漏洞修复生效。 CVE-2018-14046:需要重启 exiv2 以使漏洞修复生效。 CVE-2018-17282:需要重启 exiv2 以使漏洞修复生效。 CVE-2018-17581:需要重启 exiv2 以使漏洞修复生效。 CVE-2018-18915:需要重启 exiv2 以使漏洞修复生效。 CVE-2018-19107:需要重启 exiv2 以使漏洞修复生效。 CVE-2018-19108:需要重启 exiv2 以使漏洞修复生效。 CVE-2018-19535:需要重启 exiv2 以使漏洞修复生效。 CVE-2018-19607:需要重启 exiv2 以使漏洞修复生效。 CVE-2018-20096:需要重启 exiv2 以使漏洞修复生效。 CVE-2018-20097:需要重启 exiv2 以使漏洞修复生效。 CVE-2018-20098:需要重启 exiv2 以使漏洞修复生效。 CVE-2018-20099:需要重启 exiv2 以使漏洞修复生效。 CVE-2018-4868:需要重启 exiv2 以使漏洞修复生效。 CVE-2018-8976:需要重启 exiv2 以使漏洞修复生效。 CVE-2018-8977:需要重启 exiv2 以使漏洞修复生效。 CVE-2018-9305:需要重启 exiv2 以使漏洞修复生效。 CVE-2019-9143:需要重启 exiv2 以使漏洞修复生效。 5.软件包下载地址 ·中标麒麟高级服务器操作系统 V7 exiv2(aarch64)软件包下载地址: https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/updates/aarch64/Packages/exiv2-0.27.0-2.el7_6.aarch64.rpm https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/aarch64/Packages/exiv2-0.27.0-2.el7_6.aarch64.rpm https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/aarch64/Packages/exiv2-0.27.0-2.el7_6.aarch64.rpm https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/updates/aarch64/Packages/exiv2-devel-0.27.0-2.el7_6.aarch64.rpm https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/aarch64/Packages/exiv2-devel-0.27.0-2.el7_6.aarch64.rpm https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/aarch64/Packages/exiv2-devel-0.27.0-2.el7_6.aarch64.rpm https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/updates/aarch64/Packages/exiv2-doc-0.27.0-2.el7_6.noarch.rpm https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/aarch64/Packages/exiv2-doc-0.27.0-2.el7_6.noarch.rpm https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/aarch64/Packages/exiv2-doc-0.27.0-2.el7_6.noarch.rpm https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/updates/aarch64/Packages/exiv2-libs-0.27.0-2.el7_6.aarch64.rpm https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/aarch64/Packages/exiv2-libs-0.27.0-2.el7_6.aarch64.rpm https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/aarch64/Packages/exiv2-libs-0.27.0-2.el7_6.aarch64.rpm exiv2(x86_64)软件包下载地址: https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/updates/x86_64/Packages/exiv2-0.27.0-2.el7_6.x86_64.rpm https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/x86_64/Packages/exiv2-0.27.0-2.el7_6.x86_64.rpm https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/exiv2-0.27.0-2.el7_6.x86_64.rpm https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/updates/x86_64/Packages/exiv2-devel-0.27.0-2.el7_6.i686.rpm https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/x86_64/Packages/exiv2-devel-0.27.0-2.el7_6.i686.rpm https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/exiv2-devel-0.27.0-2.el7_6.i686.rpm https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/updates/x86_64/Packages/exiv2-devel-0.27.0-2.el7_6.x86_64.rpm https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/x86_64/Packages/exiv2-devel-0.27.0-2.el7_6.x86_64.rpm https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/exiv2-devel-0.27.0-2.el7_6.x86_64.rpm https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/updates/x86_64/Packages/exiv2-doc-0.27.0-2.el7_6.noarch.rpm https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/x86_64/Packages/exiv2-doc-0.27.0-2.el7_6.noarch.rpm https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/exiv2-doc-0.27.0-2.el7_6.noarch.rpm https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/updates/x86_64/Packages/exiv2-libs-0.27.0-2.el7_6.i686.rpm https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/x86_64/Packages/exiv2-libs-0.27.0-2.el7_6.i686.rpm https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/exiv2-libs-0.27.0-2.el7_6.i686.rpm https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/updates/x86_64/Packages/exiv2-libs-0.27.0-2.el7_6.x86_64.rpm https://update.cs2c.com.cn/NS/V7/V7Update7/os/adv/lic/base/x86_64/Packages/exiv2-libs-0.27.0-2.el7_6.x86_64.rpm https://update.cs2c.com.cn/NS/V7/V7Update8/os/adv/lic/base/x86_64/Packages/exiv2-libs-0.27.0-2.el7_6.x86_64.rpm 注：其他相关依赖包请到相同目录下载 6.修复验证 使用软件包查询命令，查看相关软件包版本是否与修复版本一致，如果版本一致，则说明修复成功。 sudo rpm -qa | grep Packagename