PT-2021-4564 · Exiv2+10 · Exiv2+10
Kevinbackhouse
·
Publicado
2021-04-08
·
Atualizado
2025-01-10
·
CVE-2021-29457
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Exiv2 v0.27.3 e anteriores
Descrição
Foi detectado um estouro de buffer de heap no Exiv2 quando utilizado para gravar metadados em um arquivo de imagem manipulado. Isso poderia permitir que um invasor conseguisse executar código caso conseguisse induzir a vítima a executar o Exiv2 em um arquivo de imagem manipulado. O problema é desencadeado pela gravação de metadados, uma operação menos frequente do que a leitura de metadados. Por exemplo, adicionar um argumento extra à linha de comando, como
insert, pode desencadear o bug no aplicativo de linha de comando do Exiv2. A vulnerabilidade também pode permitir que um invasor remoto acesse dados confidenciais, comprometa sua integridade e cause uma negação de serviço usando um arquivo de imagem especialmente criado.Recomendações
Para as versões v0.27.3 e anteriores do Exiv2, atualize para a versão v0.27.4 para corrigir o problema de estouro de buffer de heap. Como solução temporária, considere evitar o uso do argumento de linha de comando
insert ou qualquer outra operação que acione a gravação de metadados até que a atualização seja aplicada. Restrinja o uso do Exiv2 para gravação de metadados a fim de minimizar o risco de exploração.Exploit
Correção
Heap Based Buffer Overflow
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Astra Linux
Centos
Exiv2
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu