Vulnerabilidad en B44Compressor de OpenEXR (CVE-2021-20298)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-787
Escritura fuera de límites
Fecha de publicación:
23/08/2022
Última modificación:
13/12/2022
Descripción
Se ha encontrado un fallo en B44Compressor de OpenEXR. Este fallo permite a un atacante que puede enviar un archivo diseñado para ser procesado por OpenEXR, agotar toda la memoria accesible a la aplicación. La mayor amenaza de esta vulnerabilidad es la disponibilidad del sistema.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:openexr:openexr:*:*:*:*:*:*:*:* | 2.5.7 (incluyendo) | |
| cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://access.redhat.com/security/cve/CVE-2021-20298
- https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=25913
- https://bugzilla.redhat.com/show_bug.cgi?id=1939156
- https://github.com/AcademySoftwareFoundation/openexr/commit/85fd638ae0d5fa132434f4cbf32590261c1dba97
- https://github.com/AcademySoftwareFoundation/openexr/pull/843
- https://lists.debian.org/debian-lts-announce/2022/12/msg00022.html