libgd libgd 跨界内存读

CVE编号

CVE-2021-38115

利用情况

暂无

补丁情况

官方补丁

披露时间

2021-08-05

漏洞描述

read_header_tga in gd_tga.c in the GD Graphics Library (aka LibGD) through 2.3.2 allows remote attackers to cause a denial of service (out-of-bounds read) via a crafted TGA file.

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://github.com/libgd/libgd/issues/697
https://github.com/libgd/libgd/pull/711/commits/8b111b2b4a4842179be66db68d84d...

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	libgd	libgd	*		Up to (including) 2.3.2
	运行在以下环境
	系统	alpine_3.11	gd	*		Up to (excluding) 2.2.5-r4
	运行在以下环境
	系统	alpine_3.12	gd	*		Up to (excluding) 2.3.0-r1
	运行在以下环境
	系统	alpine_3.13	gd	*		Up to (excluding) 2.3.0-r1
	运行在以下环境
	系统	alpine_3.14	gd	*		Up to (excluding) 2.3.0-r1
	运行在以下环境
	系统	alpine_3.15	gd	*		Up to (excluding) 2.3.0-r1
	运行在以下环境
	系统	alpine_edge	gd	*		Up to (excluding) 2.3.0-r1
	运行在以下环境
	系统	debian_10	gd	*		Up to (excluding) 2.2.5-5.2
	运行在以下环境
	系统	debian_11	gd	*		Up to (excluding) 2.3.0-2
	运行在以下环境
	系统	debian_12	gd	*		Up to (excluding) 2.3.0-2
	运行在以下环境
	系统	debian_9	gd	*		Up to (excluding) 2.2.4-2+deb9u5
	运行在以下环境
	系统	debian_sid	gd	*		Up to (excluding) 2.3.0-2
	运行在以下环境
	系统	ubuntu_14.04	gd	*		Up to (excluding) 2.1.0-3ubuntu0.11+esm2
	运行在以下环境
	系统	ubuntu_16.04	gd	*		Up to (excluding) 2.1.1-4ubuntu0.16.04.12+esm1
	运行在以下环境
	系统	ubuntu_18.04	gd	*		Up to (excluding) 2.2.5-4ubuntu0.5
	运行在以下环境
	系统	ubuntu_20.04	gd	*		Up to (excluding) 2.2.5-5.2ubuntu2.1
	运行在以下环境
	系统	ubuntu_21.04	gd	*		Up to (excluding) 2.3.0-2ubuntu0.1

攻击路径远程
攻击复杂度容易
权限要求无需权限
影响范围有限影响
EXP成熟度未验证
补丁情况官方补丁
数据保密性无影响
数据完整性传输被破坏
服务器危害 DoS
全网数量 N/A

CWE-ID 漏洞类型 CWE-125 跨界内存读

正文

libgd libgd 跨界内存读

漏洞描述

解决建议

参考链接

受影响软件情况

相关阅读

IBM InfoSphere Master Data Management up to 11.4.0.4 GDS 跨站脚本攻击

IBM Host On-Demand up to 11.0.14 跨站脚本攻击

IBM Tealeaf Customer Experience 至 9.0.2 Replay Server File 路径遍历漏洞

PHP ‘serialize_function_call()’函数远程代码执行漏洞

发表评论取消回复

还没有评论，来说两句吧...

目录[+]