PT-2021-7699 · Exiv2+6 · Exiv2+6

Kevin Backhouse

·

Publicado

2021-07-14

·

Atualizado

2025-01-10

·

CVE-2021-37621

CVSS v2.0

7.1

Alta

VetorAV:N/AC:M/Au:N/C:N/I:N/A:C
Nome do software vulnerável e versões afetadas
Versões v0.27.4 e anteriores do Exiv2
Descrição
O problema está relacionado a um loop infinito na biblioteca Exiv2, que pode ser acionado ao imprimir os metadados de um arquivo de imagem especialmente criado, permitindo potencialmente que um invasor remoto cause uma negação de serviço. Esse bug é acionado especificamente ao imprimir o perfil ICC da imagem, uma operação menos frequente que requer a opção de linha de comando adicional -p C.
Recomendações
Para as versões v0.27.4 e anteriores do Exiv2, atualize para a versão v0.27.5 para resolver o problema. Como solução alternativa temporária, considere evitar o uso da opção de linha de comando -p C para minimizar o risco de exploração. Restrinja o acesso a arquivos de imagem criados de forma maliciosa para prevenir possíveis ataques de negação de serviço.

Correção

DoS

Infinite Loop

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-835

Identificadores relacionados

ALT-PU-2021-3110
ALT-PU-2021-3499
ALT-PU-2024-13399
AZL-7223
BDU:2023-01673
CVE-2021-37621
DLA-3265-1
GHSA-M479-7FRC-GQQG
MGASA-2021-0415
OESA-2021-1451
OESA-2022-1955
OESA-2022-2044
OPENSUSE-SU-2022_3598-1
OPENSUSE-SU-2022_3889-1
OPENSUSE-SU-2024:12381-1
SUSE-SU-2022:3598-1
SUSE-SU-2022:3889-1
USN-5043-1

Produtos afetados

Alt Linux
Astra Linux
Exiv2
Linuxmint
Red Os
Suse
Ubuntu