PT-2020-6123 · Google+9 · Libwebp+9

Publicado

2018-11-22

·

Atualizado

2021-11-30

·

CVE-2020-36330

CVSS v3.1

9.1

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H
Nome do software vulnerável e versões afetadas
Versões da libwebp anteriores à 1.0.1
Descrição
O problema está relacionado a uma leitura fora dos limites na biblioteca libwebp, utilizada para codificar e decodificar imagens WebP. Isso pode ser explorado por um invasor remoto para obter acesso a informações confidenciais através da criação de um arquivo especialmente criado para esse fim. A maior ameaça decorrente deste problema é à confidencialidade dos dados e à disponibilidade do serviço.
Recomendações
Para versões do libwebp anteriores à 1.0.1, atualize para a versão 1.0.1 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso da função ChunkVerifyAndAssign até que um patch esteja disponível.

Correção

Out of bounds Read

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-125

Identificadores relacionados

ALSA-2021:4231
ALT-PU-2018-2673
BDU:2021-03104
CESA-2021_4231
CVE-2020-36330
DLA-2677-1
DSA-4930-1
OPENSUSE-SU-2021:1860-1
OPENSUSE-SU-2021_1860-1
RHSA-2021:4231
RHSA-2021_4231
RLSA-2021:4231
SUSE-SU-2021:1830-1
SUSE-SU-2021:1860-1
USN-4971-1
USN-4971-2

Produtos afetados

Alt Linux
Almalinux
Astra Linux
Centos
Linuxmint
Red Hat
Rocky Linux
Suse
Ubuntu
Libwebp