PT-2021-7922 · Exiv2+9 · Exiv2+9

Yuawn

·

Publicado

2021-05-13

·

Atualizado

2025-01-17

·

CVE-2021-29623

CVSS v2.0

4.3

Média

VetorAV:N/AC:M/Au:N/C:P/I:N/A:N
Nome do software vulnerável e versões afetadas
Versões v0.27.3 e anteriores do Exiv2
Descrição
Foi detectada uma leitura de memória não inicializada no Exiv2, que é acionada quando o utilitário é usado para ler os metadados de um arquivo de imagem manipulado. Isso poderia permitir que um invasor vazasse alguns bytes da memória da pilha se conseguisse induzir a vítima a executar o Exiv2 em um arquivo de imagem manipulado. A vulnerabilidade está relacionada ao uso de um recurso não inicializado e pode permitir que um invasor obtenha acesso não autorizado a informações protegidas.
Recomendações
Para as versões v0.27.3 e anteriores do Exiv2, atualize para a versão v0.27.4 para resolver o problema. Como solução temporária, considere evitar o uso do Exiv2 para ler metadados de arquivos de imagem não confiáveis até que a atualização seja aplicada.

Correção

Use of Uninitialized Resource

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-908

Identificadores relacionados

ALSA-2021:4173
ALT-PU-2021-2006
ALT-PU-2024-13399
AZL-7212
BDU:2023-05479
CESA-2021_4173
CVE-2021-29623
GHSA-6253-QJWM-3Q4V
MGASA-2021-0240
OESA-2021-1204
OPENSUSE-SU-2022_3889-1
OPENSUSE-SU-2024:12063-1
RHSA-2021:4173
RHSA-2021_4173
RLSA-2021:4173
SUSE-SU-2022:3889-1
USN-4964-1

Produtos afetados

Alt Linux
Almalinux
Centos
Exiv2
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu