PT-2022-7371 · Lrzip+3 · Lrzip+3
Wcventure
·
Publicado
2022-03-28
·
Atualizado
2024-06-07
·
CVE-2022-26291
CVSS v3.1
5.5
Média
| Vetor | AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
lrzip versão 0.641
Descrição
O problema está relacionado a uma falha de uso após liberação (use-after-free) em múltiplas instâncias simultâneas entre as funções
zpaq decompress buf() e clear rulist(). Isso permite que invasores provoquem uma negação de serviço (DoS) por meio de um arquivo Irz malicioso. A vulnerabilidade está associada ao uso paralelo de memória após a liberação.Recomendações
Para a versão 0.641 do lrzip, considere desativar as funções
zpaq decompress buf() e clear rulist() como uma solução temporária para minimizar o risco de exploração. Evite usar arquivos Irz criados especificamente para esse fim até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
DoS
Use After Free
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Linuxmint
Red Os
Ubuntu
Lrzip