SECURITY.md

   1 # Security overview
   2
   3 ## General
   4
   5 libexif is a software library to process EXIF datablobs, which are usually
   6 embedded in JPEG files.
   7
   8 It allows reading, writing, changing, and extraction (binary and textual versions)
   9 of this data.
  10
  11
  12 ## Attack Surface
  13
  14 Any data blob put into the library should be assumed untrusted and
  15 potentially malicious.
  16
  17 ABI parameters can be considered trusted.
  18
  19 The primary attack scenario is processing of files for EXIF content
  20 extraction (displaying) via unattended services, up to and including
  21 webservices where files can be uploaded by potential attackers.
  22
  23 ## Bugs considered security issues
  24
  25 (Mostly for CVE assigments rules.)
  26
  27 Triggering memory corruption of any form is considered in scope.
  28 Triggering endless loops is considered in scope. (would block services)
  29 Triggering unintentional aborts is considered in scope.
  30
  31 Common library usage patterns are in scope.
  32
  33 Crashes during writing out of data as EXIF could be in scope.
  34
  35 ## Bugs not considered security issues
  36
  37 Crashes caused by debugging functionality are not in scope.
  38
  39 ## Bugreports
  40
  41 Bugreports can be filed as github issues.
  42
  43 If you want to report an embargoed security bug report, reach out to dan@coneharvesters.com.