PT-2020-7011 · Gnu+5 · Gsl+5

Patrick Alken

+1

·

Publicado

2020-12-04

·

Atualizado

2024-12-07

·

CVE-2020-35357

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:N/A:C
Nome do software vulnerável e versões afetadas
GSL (GNU Scientific Library), versões 2.5 e 2.6
Descrição
Pode ocorrer um estouro de buffer ao calcular o valor do quantil usando a Biblioteca de Estatística da GSL. O processamento de dados de entrada criados de forma maliciosa para a função gsl stats quantile from sorted data da biblioteca pode levar ao encerramento inesperado do aplicativo ou à execução de código arbitrário. O problema está relacionado a uma vulnerabilidade de cópia de buffer sem validação de entrada, que pode ser explorada por um invasor remoto para causar uma negação de serviço.
Recomendações
Para as versões 2.5 e 2.6 da GSL (GNU Scientific Library), considere desativar a função gsl stats quantile from sorted data até que um patch esteja disponível para evitar uma possível exploração. Restrinja o acesso à Biblioteca de Estatística para minimizar o risco de execução de código arbitrário. Evite usar a função gsl stats quantile from sorted data com dados de entrada não confiáveis até que o problema seja resolvido.

Correção

Buffer Overflow

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-120

Identificadores relacionados

ALT-PU-2020-4217
ALT-PU-2021-4843
ALT-PU-2024-6153
AZL-43711
AZL-45111
BDU:2025-00971
CVE-2020-35357
DLA-3576-1
DLA-3985-1
OPENSUSE-SU-2023_3527-1
OPENSUSE-SU-2023_3858-1
SUSE-SU-2023:3527-1
SUSE-SU-2023:3858-1
SUSE-SU-2023:4051-1
SUSE-SU-2023_3858-1
SUSE-SU-2023_4051-1
USN-6472-1

Produtos afetados

Alt Linux
Astra Linux
Gsl
Linuxmint
Suse
Ubuntu