PT-2021-21416 · Qpdf+5 · Qpdf+5

Bin2415

·

Publicado

2020-12-23

·

Atualizado

2025-08-27

·

CVE-2021-36978

CVSS v3.1

5.5

Média

VetorAV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H
Nome do software vulnerável e versões afetadas
Versões 9.x a 9.1.1 do QPDF
Versões 10.x a 10.0.4 do QPDF
Descrição
O problema é um estouro de buffer baseado em heap em Pl ASCII85Decoder::write, que é chamado a partir de Pl AES PDF::flush e Pl AES PDF::finish, ocorrendo quando uma determinada gravação a jusante falha.
Recomendações
Para as versões 9.x a 9.1.1 do QPDF, atualize para uma versão posterior à 9.1.1 para resolver o problema.
Para as versões 10.x a 10.0.4 do QPDF, atualize para uma versão posterior à 10.0.4 para resolver o problema.
Como solução temporária, considere restringir o uso da função Pl ASCII85Decoder::write até que um patch esteja disponível.

Correção

DoS

Memory Corruption

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-787

Identificadores relacionados

ALT-PU-2021-1011
ALT-PU-2022-1049
ALT-PU-2023-4131
BDU:2025-10921
CVE-2021-36978
DLA-3548-1
OPENSUSE-SU-2022_2670-1
OPENSUSE-SU-2022_3248-1
SUSE-SU-2022:2669-1
SUSE-SU-2022:2670-1
SUSE-SU-2022:3248-1
SUSE-SU-2022_2669-1
SUSE-SU-2022_2670-1
SUSE-SU-2022_3248-1
USN-5026-1
USN-5026-2

Produtos afetados

Alt Linux
Linuxmint
Qpdf
Red Os
Suse
Ubuntu