PT-2021-5707 · Unknown+5 · Ghostscript+5

Publicado

2021-05-26

·

Atualizado

2024-06-15

·

CVE-2021-45949

CVSS v3.1

5.5

Média

VetorAV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H
Nome do software vulnerável e versões afetadas
Ghostscript GhostPDL, versões 9.50 a 9.54.0
Descrição
O problema está relacionado a um estouro de buffer baseado em heap na função sampled data finish(), que pode ser explorado para causar uma negação de serviço. Essa função é chamada a partir de sampled data continue e interp.
Recomendações
Para as versões 9.50 a 9.54.0 do Ghostscript GhostPDL, considere desativar a função sampled data finish() como uma solução temporária até que um patch esteja disponível. Restrinja o acesso às funções interp e sampled data continue para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Exploit

Memory Corruption

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-787

Identificadores relacionados

ALT-PU-2023-1620
ALT-PU-2023-1968
ALT-PU-2024-7762
BDU:2022-00147
CVE-2021-45949
DLA-2879-1
DSA-5038-1
MGASA-2022-0012
OESA-2022-1487
OPENSUSE-SU-2022:0088-1
OPENSUSE-SU-2022_0088-1
OPENSUSE-SU-2022_0088-2
OPENSUSE-SU-2024:11744-1
SUSE-SU-2022:0081-1
SUSE-SU-2022:0088-1
SUSE-SU-2022:0088-2
SUSE-SU-2022:0088-3
USN-5224-1
USN-5224-2

Produtos afetados

Alt Linux
Astra Linux
Ghostscript
Linuxmint
Suse
Ubuntu