PT-2020-6589 · Libproxy+5 · Libproxy+5

Li Fei

·

Publicado

2020-07-16

·

Atualizado

2025-02-27

·

CVE-2020-26154

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões do libproxy anteriores à 0.4.16
Descrição
O problema está relacionado a um estouro de buffer no arquivo url.cpp do libproxy quando o PAC está habilitado. Isso pode ser desencadeado por um arquivo PAC de grande tamanho enviado sem um cabeçalho Content-length, permitindo potencialmente que um invasor remoto acesse dados confidenciais, comprometa sua integridade e cause uma negação de serviço.
Recomendações
Para versões anteriores à 0.4.16, atualize para a versão 0.4.16 ou posterior para resolver o problema.
Como solução temporária, considere desativar o PAC ao usar o libproxy até que um patch esteja disponível.
Restrinja o acesso ao componente url.cpp para minimizar o risco de exploração.

Correção

Buffer Overflow

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-120

Identificadores relacionados

ALT-PU-2020-3261
ALT-PU-2020-3293
ALT-PU-2021-1069
ALT-PU-2021-2148
AZL-7271
BDU:2022-00328
CVE-2020-26154
DLA-2450-1
DSA-4800-1
INFEA-2024_8852
MGASA-2020-0399
OPENSUSE-SU-2020:1676-1
OPENSUSE-SU-2020:1680-1
OPENSUSE-SU-2020_1676-1
OPENSUSE-SU-2020_1680-1
OPENSUSE-SU-2024:10973-1
RHSA-2024:6205
SUSE-SU-2020:2900-1
SUSE-SU-2020:2901-1
USN-4673-1

Produtos afetados

Alt Linux
Astra Linux
Linuxmint
Suse
Ubuntu
Libproxy