Vulnerabilidad en WavPack (CVE-2019-1010315)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-369
División por cero
Fecha de publicación:
11/07/2019
Última modificación:
07/11/2023
Descripción
WavPack versiones 5.1 y anteriores, esta afectado por: CWE 369: División por Cero. El impacto es: Dividir por cero puede conllevar a un bloqueo repentino de un software y servicio que intenta analizar un archivo .wav. El componente es: ParseDsdiffHeaderConfig (en el archivo dsdiff.c:282). El vector de ataque es: archivo .wav malicioso. La versión corregida es: Después del commit https://github.com/dbry/WavPack/commit/4c0faba32fddbd0745cbfaf1e1aeb3da5d35b9fc.
Impacto
Puntuación base 3.x
5.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:wavpack:wavpack:*:*:*:*:*:*:*:* | 5.1.0 (incluyendo) | |
| cpe:2.3:o:fedoraproject:fedora:30:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:31:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:18.04:*:*:*:lts:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:19.04:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/dbry/WavPack/commit/4c0faba32fddbd0745cbfaf1e1aeb3da5d35b9fc
- https://github.com/dbry/WavPack/issues/65
- https://lists.debian.org/debian-lts-announce/2021/01/msg00013.html
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/6CFFFWIWALGQPKINRDW3PRGRD5LOLGZA/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/BRWQNE3TH5UF64IKHKKHVCHJHUOVKJUH/
- https://usn.ubuntu.com/4062-1/