PT-2020-6259 · Academy Software Foundation+5 · Openexr+5

Strongcourage

·

Publicado

2020-10-27

·

Atualizado

2023-02-03

·

CVE-2020-16588

CVSS v3.1

5.5

Média

VetorAV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H
Nome do software vulnerável e versões afetadas
Academy Software Foundation OpenEXR versão 2.3.0
Descrição
Existe uma vulnerabilidade de referência a ponteiro nulo na função generatePreview em makePreview.cpp que pode causar uma negação de serviço por meio de um arquivo EXR malicioso. Essa vulnerabilidade está relacionada a erros na referência a ponteiros, que podem ser explorados por um invasor remoto para causar uma negação de serviço.
Recomendações
Para a versão 2.3.0, considere desativar a função generatePreview no makePreview.cpp como uma solução temporária até que um patch esteja disponível. Restrinja o acesso a arquivos EXR criados especificamente para minimizar o risco de exploração.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Exploit

DoS

NULL Pointer Dereference

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-476

Identificadores relacionados

ALT-PU-2020-3135
ALT-PU-2020-3136
ALT-PU-2021-1312
ALT-PU-2021-1313
AZL-44706
BDU:2021-03731
CVE-2020-16588
DLA-2491-1
DLA-3236-1
MGASA-2021-0015
OPENSUSE-SU-2020:2349-1
OPENSUSE-SU-2020:2351-1
OPENSUSE-SU-2020_2349-1
OPENSUSE-SU-2020_2351-1
SUSE-SU-2020:3931-1
SUSE-SU-2020:3934-1
USN-4676-1

Produtos afetados

Alt Linux
Astra Linux
Linuxmint
Openexr
Suse
Ubuntu