PT-2020-5888 · Openexr+5 · Openexr+5

Michael Kaplan

·

Publicado

2020-10-06

·

Atualizado

2023-10-17

·

CVE-2021-3476

CVSS v3.1

5.3

Média

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
**Nome do software vulnerável e versões afetadas:
Versões do OpenEXR anteriores à 3.0.0-beta
Descrição:
O problema está relacionado a um estouro de inteiro na função de compactação B44 da biblioteca OpenEXR. Isso pode ser explorado por um invasor remoto para causar uma negação de serviço ao abrir arquivos EXR especialmente criados. A vulnerabilidade afeta a funcionalidade de descompactação B44 e pode ser acionada pelo envio de um arquivo criado para o OpenEXR, afetando potencialmente a disponibilidade do aplicativo.
Recomendações:
Para versões anteriores à 3.0.0-beta, atualize para a versão 3.0.0-beta ou posterior para resolver o problema. Como solução temporária, considere restringir o uso da função de compressão B44 até que um patch esteja disponível. Evite abrir arquivos EXR especialmente criados com a versão vulnerável do OpenEXR para minimizar o risco de exploração.

Correção

Integer Overflow

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-190

Identificadores relacionados

ALT-PU-2021-1863
ALT-PU-2021-1864
ALT-PU-2021-1933
ALT-PU-2021-1934
AZL-44922
BDU:2021-01978
CVE-2021-3476
DLA-2701-1
DLA-3236-1
MGASA-2021-0326
OESA-2021-1167
OPENSUSE-SU-2021:0536-1
OPENSUSE-SU-2021:1198-1
OPENSUSE-SU-2021:2793-1
OPENSUSE-SU-2021_0536-1
OPENSUSE-SU-2021_1198-1
OPENSUSE-SU-2021_2793-1
ROSA-SA-2023-2247
SUSE-SU-2021:1097-1
SUSE-SU-2021:2793-1
SUSE-SU-2021:2913-1
USN-4900-1

Produtos afetados

Alt Linux
Astra Linux
Linuxmint
Openexr
Suse
Ubuntu