PT-2021-19883 · Jasper+6 · Jasper+6

Kaka201

+1

·

Publicado

2021-01-27

·

Atualizado

2024-06-15

·

CVE-2021-3272

CVSS v3.1

5.5

Média

VetorAV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H
Nome do software vulnerável e versões afetadas
JasPer versão 2.0.24
Descrição
O problema decorre de uma leitura excessiva do buffer baseada em heap na função jp2 decode, localizada em jp2/jp2 dec.c da biblioteca libjasper no JasPer. Isso ocorre quando há uma relação inválida entre o número de canais e o número de componentes da imagem.
Recomendações
Para o JasPer versão 2.0.24, considere aplicar um patch ou atualização que corrija a função jp2 decode para evitar a leitura excessiva do buffer baseada na pilha. Como solução temporária, restrinja o uso da função jp2 decode até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Exploit

Out of bounds Read

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-125

Identificadores relacionados

ALSA-2021:4235
ALT-PU-2021-1241
AZL-6493
CESA-2021_4235
CVE-2021-3272
MGASA-2021-0113
OPENSUSE-SU-2021:0303-1
OPENSUSE-SU-2021_0303-1
OPENSUSE-SU-2024:10869-1
RHSA-2021:4235
RHSA-2021_4235
RLSA-2021:4235
SUSE-SU-2021:0488-1
SUSE-SU-2021:0489-1
SUSE-SU-2021:14627-1
SUSE-SU-2021_14627-1

Produtos afetados

Alt Linux
Almalinux
Centos
Jasper
Red Hat
Rocky Linux
Suse