PT-2021-7758 · Unknown+3 · Imagemagick+3
5Hadowblad3
·
Publicado
2021-06-10
·
Atualizado
2023-08-31
·
CVE-2021-3596
CVSS v2.0
7.1
Alta
| Vetor | AV:N/AC:M/Au:N/C:N/I:N/A:C |
Nome do software vulnerável e versões afetadas
Versões do ImageMagick anteriores à 7.0.10-31
Descrição
O problema está relacionado a uma falha de desreferência de ponteiro NULL na função
ReadSVGImage() do componente coders/svg.c. Essa falha é causada pela não verificação do valor de retorno da função xmlCreatePushParserCtxt() da libxml2 e pelo uso direto desse valor, levando a uma falha no sistema e a um erro de segmentação. A falha pode ser explorada por um invasor remoto para causar uma negação de serviço.Recomendações
Para versões anteriores à 7.0.10-31, atualize para a versão 7.0.10-31 ou posterior para resolver o problema. Como solução temporária, considere desativar a função
ReadSVGImage() em coders/svg.c para impedir a exploração até que um patch seja aplicado. Restrinja o acesso ao componente coders/svg.c para minimizar o risco de exploração. Evite usar a função xmlCreatePushParserCtxt() da libxml2 na função ReadSVGImage() afetada até que o problema seja resolvido.Exploit
Correção
NULL Pointer Dereference
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Astra Linux
Imagemagick
Libxml2