Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-05485

Опубликовано: 09 авг. 2021
Источник: fstec
CVSS3: 5.5
CVSS2: 4.9
EPSS Низкий

Описание

Уязвимость библиотеки для управления метаданными медиафайлов Exiv2 связана с разыменованием нулевого указателя. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании

Вендор

Red Hat Inc.
Сообщество свободного программного обеспечения
Canonical Ltd.
Fedora Project
ООО «Ред Софт»
АО «ИВК»
Exiv2 authors

Наименование ПО

Red Hat Enterprise Linux
Debian GNU/Linux
Ubuntu
Fedora
РЕД ОС
Альт 8 СП
Exiv2

Версия ПО

8 (Red Hat Enterprise Linux)
10 (Debian GNU/Linux)
20.04 LTS (Ubuntu)
33 (Fedora)
21.04 (Ubuntu)
34 (Fedora)
16.04 ESM (Ubuntu)
11 (Debian GNU/Linux)
7.3 (РЕД ОС)
- (Альт 8 СП)
до 0.27.4 включительно (Exiv2)
18.04 ESM (Ubuntu)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Canonical Ltd. Ubuntu 20.04 LTS
Fedora Project Fedora 33
Canonical Ltd. Ubuntu 21.04
Fedora Project Fedora 34
Canonical Ltd. Ubuntu 16.04 ESM
Сообщество свободного программного обеспечения Debian GNU/Linux 11
ООО «Ред Софт» РЕД ОС 7.3
АО «ИВК» Альт 8 СП -
Canonical Ltd. Ubuntu 18.04 ESM

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,9)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Exiv2:
https://github.com/Exiv2/exiv2/pull/1758
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2021-37615
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2021-37615
Для Ubuntu:
https://ubuntu.com/security/notices/USN-5043-1
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/FMDT4PJB7P43WSOM3TRQIY3J33BAFVVE/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/UYGDELIFFJWKUU7SO3QATCIXCZJERGAC/
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 28%
0.00098
Низкий

5.5 Medium

CVSS3

4.9 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2021-37615

CVSS3: 4.7
ubuntu
почти 4 года назад

Exiv2 is a command-line utility and C++ library for reading, writing, deleting, and modifying the metadata of image files. A null pointer dereference was found in Exiv2 versions v0.27.4 and earlier. The null pointer dereference is triggered when Exiv2 is used to print the metadata of a crafted image file. An attacker could potentially exploit the vulnerability to cause a denial of service, if they can trick the victim into running Exiv2 on a crafted image file. Note that this bug is only triggered when printing the interpreted (translated) data, which is a less frequently used Exiv2 operation that requires an extra command line option (`-p t` or `-P t`). The bug is fixed in version v0.27.5.

redhat логотип

CVE-2021-37615

CVSS3: 4.7
redhat
почти 4 года назад

Exiv2 is a command-line utility and C++ library for reading, writing, deleting, and modifying the metadata of image files. A null pointer dereference was found in Exiv2 versions v0.27.4 and earlier. The null pointer dereference is triggered when Exiv2 is used to print the metadata of a crafted image file. An attacker could potentially exploit the vulnerability to cause a denial of service, if they can trick the victim into running Exiv2 on a crafted image file. Note that this bug is only triggered when printing the interpreted (translated) data, which is a less frequently used Exiv2 operation that requires an extra command line option (`-p t` or `-P t`). The bug is fixed in version v0.27.5.

nvd логотип

CVE-2021-37615

CVSS3: 4.7
nvd
почти 4 года назад

Exiv2 is a command-line utility and C++ library for reading, writing, deleting, and modifying the metadata of image files. A null pointer dereference was found in Exiv2 versions v0.27.4 and earlier. The null pointer dereference is triggered when Exiv2 is used to print the metadata of a crafted image file. An attacker could potentially exploit the vulnerability to cause a denial of service, if they can trick the victim into running Exiv2 on a crafted image file. Note that this bug is only triggered when printing the interpreted (translated) data, which is a less frequently used Exiv2 operation that requires an extra command line option (`-p t` or `-P t`). The bug is fixed in version v0.27.5.

msrc логотип

CVE-2021-37615

CVSS3: 5.5
msrc
больше 3 лет назад

Описание отсутствует

debian логотип

CVE-2021-37615

CVSS3: 4.7
debian
почти 4 года назад

Exiv2 is a command-line utility and C++ library for reading, writing, ...

EPSS

Процентиль: 28%
0.00098
Низкий

5.5 Medium

CVSS3

4.9 Medium

CVSS2