PT-2021-21147 · Libfetch+2 · Libfetch+2
Ashish Patil
·
Publicado
2021-08-03
·
Atualizado
2024-04-12
·
CVE-2021-36159
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do libfetch anteriores a 26/07/2021
Descrição
O problema diz respeito ao tratamento incorreto de cadeias numéricas nos protocolos FTP e HTTP. Especificamente, a implementação do modo passivo do FTP permite uma leitura fora dos limites devido ao uso de strtol para analisar números em bytes de endereço sem verificar se há finais de linha prematuros. Isso faz com que a verificação da condição do loop for para o terminador ‘0’ ocorra um byte tarde demais.
Recomendações
Para versões do libfetch anteriores a 26/07/2021, considere atualizar para uma versão lançada após 26/07/2021 para resolver o problema. Como solução temporária, considere restringir o uso do modo passivo do FTP até que um patch esteja disponível.
Exploit
Correção
Out of bounds Read
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Freebsd
Red Os
Libfetch