PT-2020-3024 · Ijg+1 · Libjpeg+1

Dongdong She

+1

·

Publicado

2020-06-15

·

Atualizado

2024-07-16

·

CVE-2020-14152

CVSS v4.0

8.7

Alta

VetorAV:N/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Nome do software vulnerável e versões afetadas
IJG JPEG (também conhecido como libjpeg) versões anteriores à 9d
Descrição
O problema está relacionado à função jpeg mem available() no arquivo jmemnobs.c do diretório djpeg, que não respeita a configuração max memory to use, podendo causar consumo excessivo de memória. Isso poderia permitir que um invasor remoto divulgasse informações protegidas ou causasse uma negação de serviço.
Recomendações
Para versões anteriores à 9d, atualize para a versão 9d ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o uso da função jpeg mem available() em djpeg para minimizar o risco de exploração.

Correção

Resource Exhaustion

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-400

Identificadores relacionados

AZL-45315
BDU:2020-03268
CVE-2020-14152
DLA-2302-1
GHSA-G4M4-9Q4C-MFW6
USN-5336-1
USN-5497-1
USN-5497-2
USN-5553-1

Produtos afetados

Ubuntu
Libjpeg