PT-2021-8244 · Exiv2+8 · Exiv2+8

Lowkevinbackhouse

·

Publicado

2021-04-20

·

Atualizado

2025-01-10

·

CVE-2021-29464

CVSS v3.1

7.8

Alta

VetorAV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões do Exiv2 v0.27.3 e anteriores
Descrição
Foi detectado um estouro de buffer de heap no Exiv2 quando utilizado para gravar metadados em um arquivo de imagem manipulado. Isso poderia permitir que um invasor conseguisse executar código caso conseguisse induzir a vítima a executar o Exiv2 em um arquivo de imagem manipulado. O bug só é acionado ao gravar metadados, o que é uma operação menos frequente do que a leitura de metadados. Por exemplo, para acionar o bug no aplicativo de linha de comando do Exiv2, é necessário um argumento de linha de comando adicional, como insert.
Recomendações
Para as versões v0.27.3 e anteriores do Exiv2, atualize para a versão v0.27.4 para resolver o problema. Como solução temporária, considere evitar o uso do argumento de linha de comando insert ou qualquer outra operação que acione a gravação de metadados até que a atualização seja aplicada. Restrinja o acesso a arquivos de imagem potencialmente manipulados para minimizar o risco de exploração.

Correção

Memory Corruption

Heap Based Buffer Overflow

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-787CWE-122

Identificadores relacionados

ALSA-2021:4173
ALT-PU-2021-2006
ALT-PU-2024-13399
AZL-7209
BDU:2025-00326
CESA-2021_4173
CVE-2021-29464
GHSA-JGM9-5FW5-PW9P
MGASA-2021-0240
OESA-2021-1183
RHSA-2021:4173
RHSA-2021_4173
RLSA-2021:4173
USN-4964-1

Produtos afetados

Alt Linux
Almalinux
Centos
Exiv2
Linuxmint
Red Hat
Red Os
Rocky Linux
Ubuntu