PT-2021-6723 · Fig2Dev+3 · Fig2Dev+3

Suhwan Song

·

Publicado

2021-08-10

·

Atualizado

2025-06-23

·

CVE-2020-21682

CVSS v2.0

7.1

Alta

VetorAV:N/AC:M/Au:N/C:N/I:N/A:C
Nome do software vulnerável e versões afetadas
fig2dev versão 3.2.7b
Descrição
Um estouro de buffer global no componente set fill, localizado no arquivo genge.c do fig2dev, permite que invasores provoquem uma negação de serviço (DOS) ao converter um arquivo xfig para o formato ge. Este problema está relacionado à falta de validação de entrada ao copiar dados para um buffer, o que pode ser explorado por um invasor remoto.
Recomendações
Para o fig2dev versão 3.2.7b, considere desativar o componente set fill em genge.c como uma solução temporária para impedir a exploração até que um patch esteja disponível. Restrinja o acesso ao módulo genge.c para minimizar o risco de ataques de negação de serviço. Evite converter arquivos xfig para o formato ge usando a versão afetada do fig2dev até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Exploit

DoS

Buffer Overflow

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-120

Identificadores relacionados

BDU:2022-02093
CVE-2020-21682
OPENSUSE-SU-2021:1439-1
OPENSUSE-SU-2021:1458-1
OPENSUSE-SU-2021:1481-1
OPENSUSE-SU-2021:3584-1
OPENSUSE-SU-2021_1439-1
OPENSUSE-SU-2021_3584-1
OPENSUSE-SU-2024:11472-1
SUSE-SU-2021:14823-1
SUSE-SU-2021:3124-1
SUSE-SU-2021:3584-1
SUSE-SU-2021_14823-1
USN-7587-1

Produtos afetados

Linuxmint
Suse
Ubuntu
Fig2Dev