PT-2021-7697 · Exiv2+6 · Exiv2+6

Kevinbackhouse

·

Publicado

2021-07-14

·

Atualizado

2025-01-10

·

CVE-2021-37622

CVSS v2.0

7.1

Alta

VetorAV:N/AC:M/Au:N/C:N/I:N/A:C
Nome do software vulnerável e versões afetadas
Versões do Exiv2 v0.27.4 e anteriores
Descrição
O problema está relacionado a um loop infinito no Exiv2 ao modificar os metadados de um arquivo de imagem especialmente criado, o que pode permitir que um invasor provoque uma negação de serviço. Esse bug é acionado ao excluir os dados IPTC, o que requer uma opção adicional na linha de comando (-d I rm). A vulnerabilidade pode ser explorada induzindo a vítima a executar o Exiv2 em um arquivo de imagem especialmente criado.
Recomendações
Para as versões v0.27.4 e anteriores do Exiv2, atualize para a versão v0.27.5 para resolver o problema.
Como solução alternativa temporária, considere evitar o uso da opção de linha de comando -d I rm para excluir dados IPTC até que a atualização seja aplicada.

Correção

DoS

Infinite Loop

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-835

Identificadores relacionados

ALT-PU-2021-3110
ALT-PU-2021-3499
ALT-PU-2024-13399
AZL-7224
BDU:2023-01671
CVE-2021-37622
DLA-3265-1
GHSA-9JH3-FCC3-G6HV
MGASA-2021-0415
OESA-2021-1451
OESA-2022-1955
OESA-2022-2044
OPENSUSE-SU-2022_3889-1
OPENSUSE-SU-2024:12405-1
SUSE-SU-2022:3889-1
USN-5043-1

Produtos afetados

Alt Linux
Astra Linux
Exiv2
Linuxmint
Red Os
Suse
Ubuntu