PT-2021-7926 · Exiv2+9 · Exiv2+9

Kevinbackhouse

·

Publicado

2021-08-08

·

Atualizado

2025-01-10

·

CVE-2021-37618

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Nome do software vulnerável e versões afetadas
Versões do Exiv2 v0.27.4 e anteriores
Descrição
Foi detectada uma leitura fora dos limites no Exiv2, um utilitário de linha de comando e biblioteca C++ para ler, gravar, excluir e modificar os metadados de arquivos de imagem. A leitura fora dos limites é acionada quando o Exiv2 é usado para imprimir os metadados de um arquivo de imagem manipulado, especificamente ao imprimir o perfil ICC da imagem usando a opção de linha de comando adicional -p C. Um invasor poderia potencialmente explorar essa vulnerabilidade para causar uma negação de serviço, caso consiga induzir a vítima a executar o Exiv2 em um arquivo de imagem manipulado.
Recomendações
Para as versões v0.27.4 e anteriores do Exiv2, atualize para a versão v0.27.5 para resolver a vulnerabilidade. Como solução temporária, considere evitar o uso da opção de linha de comando -p C para minimizar o risco de exploração. Restrinja o acesso a arquivos de imagem manipulados para prevenir possíveis ataques.

Correção

DoS

Out of bounds Read

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-125

Identificadores relacionados

ALSA-2021:4173
ALSA-2021:4319
ALT-PU-2021-3110
ALT-PU-2021-3499
ALT-PU-2024-13399
AZL-7220
BDU:2023-05487
CESA-2021_4173
CESA-2021_4319
CVE-2021-37618
GHSA-583F-W9PM-99R2
MGASA-2021-0415
OESA-2021-1451
OESA-2022-1955
OESA-2022-2044
OPENSUSE-SU-2022_3598-1
RHSA-2021:4173
RHSA-2021:4319
RHSA-2021_4173
RHSA-2021_4319
RLSA-2021:4173
RLSA-2021:4319
SUSE-SU-2022:3598-1
USN-5043-1

Produtos afetados

Alt Linux
Almalinux
Centos
Exiv2
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu