PT-2024-5876 · Orc+10 · Orc+10
Yuhei Kawakoya
·
Publicado
2024-07-24
·
Atualizado
2025-08-12
·
CVE-2024-40897
CVSS v3.1
7.0
Alta
| Vetor | AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do ORC anteriores à 0.4.39
Descrição
Existe uma vulnerabilidade de estouro de buffer baseada na pilha no arquivo orcparse.c do compilador ORC. Se um desenvolvedor for induzido a processar um arquivo especialmente criado com o compilador ORC afetado, código arbitrário poderá ser executado no ambiente de compilação do desenvolvedor. Isso pode levar ao comprometimento das máquinas dos desenvolvedores ou dos ambientes de compilação de CI.
Recomendações
Para versões do ORC anteriores à 0.4.39, atualize para a versão 0.4.39 ou posterior para resolver o problema.
Como solução alternativa temporária, considere restringir o uso do compilador ORC afetado até que um patch esteja disponível.
Evite processar arquivos especialmente criados com o compilador ORC afetado para minimizar o risco de exploração.
Correção
DoS
Stack Overflow
Memory Corruption
Buffer Overflow
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Centos
Debian
Linuxmint
Orc
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu