PT-2021-7923 · Exiv2+11 · Exiv2+11

Kevinbackhouse

·

Publicado

2021-05-17

·

Atualizado

2025-01-10

·

CVE-2021-32617

CVSS v3.1

5.5

Média

VetorAV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H
Nome do software vulnerável e versões afetadas
Versões v0.27.3 e anteriores do Exiv2
Descrição
O problema está relacionado a um algoritmo ineficiente com complexidade quadrática no Exiv2, que pode ser acionado ao gravar metadados em um arquivo de imagem manipulado. Isso poderia permitir que um invasor causasse uma negação de serviço caso conseguisse induzir a vítima a executar o Exiv2 em um arquivo de imagem manipulado. O bug só é acionado ao gravar metadados, uma operação menos frequente do que a leitura de metadados.
Recomendações
Para as versões v0.27.3 e anteriores do Exiv2, atualize para a versão v0.27.4 para resolver o problema. Como solução temporária, considere evitar o uso do Exiv2 para gravar metadados em arquivos de imagem até que a atualização seja aplicada.

Correção

DoS

Resource Exhaustion

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-400

Identificadores relacionados

ALSA-2021:4173
ALT-PU-2021-2006
ALT-PU-2024-13399
AZL-7213
BDU:2023-05484
CESA-2021_4173
CVE-2021-32617
GHSA-W8MV-G8QQ-36MJ
MGASA-2021-0240
OESA-2021-1204
OPENSUSE-SU-2022_3598-1
OPENSUSE-SU-2022_3889-1
OPENSUSE-SU-2024:12381-1
RHSA-2021:4173
RHSA-2021_4173
RLSA-2021:4173
SUSE-SU-2022:3543-1
SUSE-SU-2022:3598-1
SUSE-SU-2022:3889-1
USN-4964-1

Produtos afetados

Alt Linux
Almalinux
Astra Linux
Centos
Debian
Exiv2
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu