PT-2020-5886 · Openexr+4 · Openexr+4
Michael Kaplan
·
Publicado
2020-11-11
·
Atualizado
2023-10-17
·
CVE-2021-3478
CVSS v3.1
5.5
Média
| Vetor | AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
**Nome do software vulnerável e versões afetadas:
Versões do OpenEXR anteriores à 3.0.0-beta
Descrição:
O problema está relacionado à implementação da funcionalidade de arquivo de entrada de linha de varredura na biblioteca OpenEXR, especificamente no arquivo ImfScanLineInputFile.cpp. Envolve um consumo descontrolado de recursos ao lidar com o parâmetro
to data->linesInBuffer. Isso pode ser explorado por um invasor para causar uma negação de serviço ao abrir arquivos EXR especialmente criados, potencialmente consumindo memória excessiva do sistema e afetando a disponibilidade do sistema.Recomendações:
Para versões anteriores à 3.0.0-beta, atualize para a versão 3.0.0-beta ou posterior para resolver o problema.
Como solução temporária, considere restringir o uso da funcionalidade de arquivo de entrada de scanline até que um patch esteja disponível.
Evite processar arquivos EXR não confiáveis ou especialmente criados com as versões vulneráveis do OpenEXR para minimizar o risco de exploração.
Correção
Allocation of Resources Without Limits
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Astra Linux
Linuxmint
Openexr
Ubuntu