PT-2021-6516 · Exiv2+4 · Exiv2+4

Kevinbackhouse

·

Publicado

2021-08-09

·

Atualizado

2025-01-10

·

CVE-2021-34335

CVSS v2.0

7.1

Alta

VetorAV:N/AC:M/Au:N/C:N/I:N/A:C
Nome do software vulnerável e versões afetadas
Versões v0.27.4 e anteriores do Exiv2
Descrição
O problema está relacionado à falta de verificação de divisão por zero na biblioteca Exiv2, o que pode causar uma negação de serviço quando um arquivo de imagem especialmente criado é utilizado. Um invasor poderia explorar isso para causar uma negação de serviço se conseguisse induzir a vítima a executar o Exiv2 em um arquivo de imagem criado para esse fim. O bug é acionado ao imprimir os dados interpretados, o que requer uma opção de linha de comando adicional (-p t ou -P t).
Recomendações
Para as versões v0.27.4 e anteriores do Exiv2, atualize para a versão v0.27.5 para resolver o problema. Como solução temporária, considere evitar o uso das opções de linha de comando -p t ou -P t para minimizar o risco de exploração. Restrinja o acesso a arquivos de imagem criados para evitar possíveis ataques de negação de serviço.

Correção

DoS

Divide By Zero

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-369

Identificadores relacionados

ALT-PU-2021-3110
ALT-PU-2021-3499
ALT-PU-2024-13399
AZL-7216
BDU:2022-01776
CVE-2021-34335
GHSA-PVJP-M4F6-Q984
MGASA-2021-0415
OESA-2021-1451
OESA-2022-1955
OESA-2022-2044
OPENSUSE-SU-2024:12507-1
USN-5043-1

Produtos afetados

Alt Linux
Exiv2
Linuxmint
Red Os
Ubuntu