PT-2021-7867 · Libraw+8 · Libraw+8

Gtt1995

·

Publicado

2021-04-12

·

Atualizado

2025-02-13

·

CVE-2021-32142

CVSS v3.1

7.8

Alta

VetorAV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
LibRaw versão 0.20.0
Descrição
O problema está relacionado a um estouro de buffer na função LibRaw buffer datastream::gets, localizada no componente libraw datastream.cpp da biblioteca de processamento de imagens LibRaw. Isso permite que um invasor acesse dados confidenciais, comprometa sua integridade e cause uma negação de serviço usando um arquivo especialmente criado. A vulnerabilidade pode ser explorada para escalar privilégios.
Recomendações
Para a versão 0.20.0 do LibRaw, considere desativar a função LibRaw buffer datastream::gets como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao componente libraw datastream.cpp para minimizar o risco de exploração. Evite usar a função gets no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Exploit

Stack Overflow

Memory Corruption

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-121CWE-787

Identificadores relacionados

ALSA-2023:6343
ALSA-2024:2994
AZL-43756
AZL-45267
BDU:2023-03833
CESA-2024_0343
CESA-2024_2994
CVE-2021-32142
DLA-3433-1
DSA-5412-1
INFSA-2024_2994
MGASA-2023-0082
OESA-2024-1339
OESA-2024-1446
OESA-2024-1447
OESA-2024-1448
OESA-2024-1449
OESA-2024-1450
RHSA-2023:6343
RHSA-2023_6343
RHSA-2024:0343
RHSA-2024:2994
RHSA-2024_0343
RHSA-2024_2994
RLSA-2024:2994
ROSA-SA-2024-2350
SUSE-SU-2023:0510-1
SUSE-SU-2023:0511-1
SUSE-SU-2023:0512-1
SUSE-SU-2023_0510-1
SUSE-SU-2023_0512-1
USN-6137-1
USN-7266-1

Produtos afetados

Almalinux
Astra Linux
Centos
Libraw
Linuxmint
Red Hat
Rocky Linux
Suse
Ubuntu