PT-2020-6434 · Lrzip+2 · Lrzip+2
5Hadowblad3
·
Publicado
2020-09-04
·
Atualizado
2023-02-02
·
CVE-2021-27347
CVSS v3.1
5.5
Média
| Vetor | AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Lrzip versão 0.631
Descrição
O problema está relacionado a um uso após liberação (use after free) na função
lzma decompress buf em stream.c, que pode ser explorado por invasores para causar uma negação de serviço (DoS) por meio de um arquivo compactado malicioso. Isso pode permitir que um invasor remoto interrompa o serviço usando um arquivo compactado especialmente criado.Recomendações
Para a versão 0.631 do Lrzip, considere evitar o uso da função
lzma decompress buf até que um patch esteja disponível. Como solução temporária, restrinja o processamento de arquivos compactados de fontes não confiáveis para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
DoS
Use After Free
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Linuxmint
Lrzip
Ubuntu