PT-2021-6517 · Exiv2+6 · Exiv2+6

Kevin Backhouse

·

Publicado

2021-08-09

·

Atualizado

2025-01-10

·

CVE-2021-34334

CVSS v2.0

7.1

Alta

VetorAV:N/AC:M/Au:N/C:N/I:N/A:C
Nome do software vulnerável e versões afetadas
Versões do Exiv2 anteriores à v0.27.5
Descrição
O problema está relacionado a um loop infinito acionado quando o Exiv2 é usado para ler os metadados de um arquivo de imagem manipulado. Isso poderia ser potencialmente explorado por um invasor para causar uma negação de serviço, caso ele consiga induzir a vítima a executar o Exiv2 em um arquivo de imagem manipulado. A vulnerabilidade permite que um invasor remoto cause uma negação de serviço usando um arquivo de imagem especialmente criado.
Recomendações
Para versões anteriores à v0.27.5, atualize para a versão v0.27.5 para resolver o problema. Como solução temporária, considere evitar o uso do Exiv2 para ler metadados de arquivos de imagem não confiáveis até que a atualização seja aplicada.

Correção

DoS

Infinite Loop

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-835

Identificadores relacionados

ALT-PU-2021-3110
ALT-PU-2021-3499
ALT-PU-2024-13399
AZL-7215
BDU:2022-01777
CVE-2021-34334
DLA-3265-1
GHSA-HQJH-HPV8-8R9P
MGASA-2021-0415
OESA-2021-1451
OESA-2022-1955
OESA-2022-2044
OPENSUSE-SU-2022_3889-1
OPENSUSE-SU-2022_3892-1
OPENSUSE-SU-2024:12405-1
SUSE-SU-2022:3889-1
SUSE-SU-2022:3892-1
SUSE-SU-2022:4252-1
USN-5043-1

Produtos afetados

Alt Linux
Astra Linux
Exiv2
Linuxmint
Red Os
Suse
Ubuntu