Множественные уязвимости в OpenEXR

Дата публикации:
18.09.2009
Дата изменения:
18.09.2009
Всего просмотров:
4210
Опасность:
Средняя
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2009-1720
CVE-2009-1721
CVE-2009-1722
Вектор эксплуатации:
Удаленная
Воздействие:
Отказ в обслуживании
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
OpenEXR 1.x
Уязвимые версии: OpenEXR 1.6.1, возможно другие версии.

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю вызвать отказ в обслуживании и скомпрометировать целевую систему.

1. Целочисленное переполнение обнаружено в функции PreviewImage::PreviewImage(). Удаленный пользователь может вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе.

2. Уязвимость существует из-за различных целочисленных переполнений в некоторых конструкторах компрессоров. Удаленный пользователь может вызвать переполнение динамической памяти и скомпрометировать целевую систему.

3. Уязвимость существует из-за ошибки, которая позволяет злоумышленнику освободить неинициализированные указатели в Imf::hufUncompress(), вызвать повреждение памяти и скомпрометировать целевую систему.

URL производителя: www.openexr.com

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: [DSA 1842-1] New openexr packages fix several vulnerabilities
Fedora 10 Update: OpenEXR-1.6.1-8.fc10
Fedora 11 Update: OpenEXR-1.6.1-8.fc11

или введите имя

CAPTCHA