PT-2021-23375 · Dcmtk+5 · Dcmtk+5

Jinsheng Ba

·

Publicado

2021-07-16

·

Atualizado

2025-04-03

·

CVE-2021-41689

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Nome do software vulnerável e versões afetadas
DCMTK versões 3.6.6 e anteriores
Descrição
O problema está relacionado ao tratamento inadequado da cópia de strings no DCMTK. Ao enviar solicitações específicas ao programa dcmqrdb, um invasor pode fazer com que o programa consulte seu banco de dados e copie o resultado, mesmo que o resultado seja nulo, levando a um estouro de memória baseado em heap. Isso pode ser explorado para lançar um ataque de Negação de Serviço (DoS). A vulnerabilidade pode ser explorada por um invasor remoto.
Recomendações
Para as versões 3.6.6 e anteriores do DCMTK, como solução temporária, considere restringir o acesso ao programa dcmqrdb para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

DoS

NULL Pointer Dereference

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-476

Identificadores relacionados

ALT-PU-2024-15767
ALT-PU-2024-5081
ALT-PU-2025-4731
BDU:2025-03977
CVE-2021-41689
DLA-3847-1
DLA-4038-1
DLA-4038-2
MGASA-2023-0083
ROSA-SA-2025-2643
USN-5882-1
USN-7010-1

Produtos afetados

Alt Linux
Astra Linux
Dcmtk
Linuxmint
Red Os
Ubuntu