Vulnerabilidad en printfileinfo, en el archivo printinfo.c en autofile Audio File Library (CVE-2022-24599)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
24/02/2022
Última modificación:
28/12/2023
Descripción
En autofile Audio File Library versión 0.3.6, se presenta una vulnerabilidad de pérdida de memoria en printfileinfo, en el archivo printinfo.c, que permite a un atacante filtrar información confidencial por medio de un archivo diseñado. La función printfileinfo llama a la función copyrightstring para obtener datos, sin embargo, no usa bytes cero para truncar los datos
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:audio_file_library_project:audio_file_library:0.3.6:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:37:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:38:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:39:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/mpruett/audiofile/issues/60
- https://lists.debian.org/debian-lts-announce/2023/11/msg00006.html
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/N4JXZ6QAMA3TSRY6GUZRY3WTHR7P5TPH/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/WTETOUJNRR75REYJZTBGF6TAJZYTMXUY/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/YZPG27YKICLIWUFOPVUOAFAZGOX4BNHY/