Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

redhat логотип

CVE-2014-4607

Опубликовано: 26 июн. 2014
Источник: redhat
CVSS2: 5.1
EPSS Средний

Уязвимость целочисленного переполнения в варианте алгоритма LZO в Oberhumer liblzo2 и lzo-2 на 32-битных платформах, позволяющая выполнить произвольный код через специально созданный Literal Run

Описание

Обнаружена уязвимость целочисленного переполнения (integer overflow) в способе, которым библиотека lzo декомпрессировала определённые архивы, сжатые с использованием алгоритма LZO. Злоумышленник мог создать специально сформированный входной файл, сжатый с помощью LZO, который при декомпрессии приложением, использующим библиотеку lzo, мог вызвать аварийное завершение работы этого приложения или, потенциально, выполнение произвольного кода.

Затронутые версии ПО

  • Oberhumer liblzo2 до версии 2.07
  • lzo-2 до версии 2.07 (только на 32-битных платформах)

Тип уязвимости

  • Целочисленное переполнение (integer overflow)
  • Аварийное завершение работы (crash)
  • Выполнение произвольного кода

Затронутые пакеты

ПлатформаПакетСостояниеРекомендацияРелиз
Red Hat Enterprise Linux 5busyboxWill not fix
Red Hat Enterprise Linux 5dumpWill not fix
Red Hat Enterprise Linux 5gnutlsNot affected
Red Hat Enterprise Linux 6busyboxWill not fix
Red Hat Enterprise Linux 6dumpWill not fix
Red Hat Enterprise Linux 6kdenetworkUnder investigation
Red Hat Enterprise Linux 7dumpWill not fix
Red Hat Enterprise Linux 7grub2Under investigation
Red Hat Enterprise Linux 7kdenetworkUnder investigation
Red Hat Enterprise Linux 6lzoFixedRHSA-2014:086109.07.2014

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Moderate
Дефект:
CWE-190
https://bugzilla.redhat.com/show_bug.cgi?id=1112418lzo: lzo1x_decompress_safe() integer overflow

EPSS

Процентиль: 93%
0.10271
Средний

5.1 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2014-4607

CVSS3: 8.8
ubuntu
больше 5 лет назад

Integer overflow in the LZO algorithm variant in Oberhumer liblzo2 and lzo-2 before 2.07 on 32-bit platforms might allow remote attackers to execute arbitrary code via a crafted Literal Run.

nvd логотип

CVE-2014-4607

CVSS3: 8.8
nvd
больше 5 лет назад

Integer overflow in the LZO algorithm variant in Oberhumer liblzo2 and lzo-2 before 2.07 on 32-bit platforms might allow remote attackers to execute arbitrary code via a crafted Literal Run.

debian логотип

CVE-2014-4607

CVSS3: 8.8
debian
больше 5 лет назад

Integer overflow in the LZO algorithm variant in Oberhumer liblzo2 and ...

github логотип

GHSA-cmpx-jgrc-px9h

github
больше 3 лет назад

Integer overflow in the LZO algorithm variant in Oberhumer liblzo2 and lzo-2 before 2.07 on 32-bit platforms might allow remote attackers to execute arbitrary code via a crafted Literal Run.

oracle-oval логотип

ELSA-2014-0861

oracle-oval
около 11 лет назад

ELSA-2014-0861: lzo security update (MODERATE)

EPSS

Процентиль: 93%
0.10271
Средний

5.1 Medium

CVSS2