PT-2021-2871 · Busybox+4 · Busybox+4

Samuel Sapalski

·

Publicado

2021-03-03

·

Atualizado

2025-11-03

·

CVE-2021-28831

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:N/A:C
Nome do software vulnerável e versões afetadas
Versões 1.32.1 e anteriores do BusyBox
Descrição
O problema está relacionado ao arquivo decompress gunzip.c no BusyBox, que trata incorretamente o bit de erro no ponteiro de resultado da função huft build. Isso pode levar a uma liberação inválida de memória ou a uma falha de segmentação ao processar dados gzip malformados. A vulnerabilidade pode ser explorada por um invasor remoto para causar uma negação de serviço usando o utilitário de compactação e descompactação gzip.
Recomendações
Para as versões 1.32.1 e anteriores do BusyBox, atualize para uma versão que corrija o problema com o ponteiro de resultado huft build no arquivo decompress gunzip.c.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Improper Handling of Exceptional Conditions

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-755

Identificadores relacionados

AZL-6342
BDU:2021-02427
CVE-2021-28831
DLA-2614-1
DLA-4019-1
MGASA-2021-0310
OESA-2021-1162
OPENSUSE-SU-2021:1408-1
OPENSUSE-SU-2021:3531-1
OPENSUSE-SU-2021_1408-1
OPENSUSE-SU-2021_3531-1
OPENSUSE-SU-2022:0135-1
OPENSUSE-SU-2022_0135-1
OPENSUSE-SU-2022_3959-1
OPENSUSE-SU-2024:11738-1
SUSE-SU-2021:3531-1
SUSE-SU-2022:0135-1
SUSE-SU-2022:0135-2
SUSE-SU-2022:3959-1
SUSE-SU-2022:4253-1
USN-5179-1
USN-5179-2
USN-6335-1

Produtos afetados

Astra Linux
Busybox
Linuxmint
Suse
Ubuntu