PT-2021-17964 · Mintty · Mintty
Publicado
2021-06-03
·
Atualizado
2021-06-14
·
CVE-2021-28848
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
**Nome do software vulnerável e versões afetadas:
Versões do Mintty anteriores à 3.4.5
Descrição:
A vulnerabilidade permite que servidores remotos provoquem uma negação de serviço, resultando no travamento da interface gráfica do Windows, ao alterar repetidamente o título da janela do Mintty em alta velocidade. Isso leva a muitas chamadas de
SetWindowTextA ou SetWindowTextW, pois não há implementação de um atraso, como usleep, ao processar uma alteração de título.Recomendações:
Para versões anteriores à 3.4.5, atualize para a versão 3.4.5 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir a capacidade de servidores remotos de alterar o título da janela do Mintty para minimizar o risco de exploração.
Correção
Allocation of Resources Without Limits
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Mintty