PT-2022-2831 · Ntfs-3G+10 · Ntfs-3G+10

Publicado

2022-05-16

·

Atualizado

2024-04-03

·

CVE-2022-30784

CVSS v2.0

8.3

Alta

VetorAV:A/AC:L/Au:N/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas
Versões do NTFS-3G até a 2021.8.22
Descrição
O problema está relacionado a uma vulnerabilidade de esgotamento de heap na função ntfs get attribute value do sistema de arquivos NTFS-3G. Essa vulnerabilidade pode ser explorada por um invasor remoto usando um arquivo de imagem NTFS especialmente criado, permitindo potencialmente a execução de código arbitrário com privilégios elevados.
Recomendações
Para versões até 2021.8.22, considere atualizar para uma versão posterior a 2021.8.22 para resolver o problema. Como solução temporária, restrinja o uso da função ntfs get attribute value até que um patch esteja disponível. Evite usar arquivos de imagem NTFS especialmente criados que possam acionar a vulnerabilidade de esgotamento de heap.

Correção

RCE

Heap Based Buffer Overflow

Buffer Overflow

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-20CWE-122CWE-120

Identificadores relacionados

ALSA-2023:2179
ALSA-2023:2757
ALT-PU-2022-3191
ALT-PU-2022-3208
ALT-PU-2022-3230
ALT-PU-2023-1655
ALT-PU-2023-4812
AZL-9847
BDU:2022-03378
CESA-2023_2757
CVE-2022-30784
DLA-3055-1
DSA-5160-1
GHSA-XCHM-PH5H-HW4X
MGASA-2022-0385
OESA-2022-1685
OPENSUSE-SU-2022_2835-1
RHSA-2023:2179
RHSA-2023:2757
RHSA-2023_2179
RHSA-2023_2757
SUSE-SU-2022:2835-1
SUSE-SU-2022:2836-1
USN-5463-1
USN-5463-2

Produtos afetados

Alt Linux
Almalinux
Astra Linux
Centos
Linuxmint
Ntfs-3G
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu