webkitgtk webkitgtk 释放后使用

CVE编号

CVE-2021-21775

利用情况

暂无

补丁情况

官方补丁

披露时间

2021-07-08

漏洞描述

A use-after-free vulnerability exists in the way certain events are processed for ImageLoader objects of Webkit WebKitGTK 2.30.4. A specially crafted web page can lead to a potential information leak and further memory corruption. In order to trigger the vulnerability, a victim must be tricked into visiting a malicious webpage.

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
http://www.openwall.com/lists/oss-security/2021/07/23/1
https://lists.fedoraproject.org/archives/list/[email protected]...
https://lists.fedoraproject.org/archives/list/[email protected]...
https://talosintelligence.com/vulnerability_reports/TALOS-2021-1229
https://www.debian.org/security/2021/dsa-4945

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	webkitgtk	webkitgtk	2.30.4	-
	运行在以下环境
	系统	alpine_3.14	webkit2gtk	*		Up to (excluding) 2.32.3-r0
	运行在以下环境
	系统	alpine_3.15	webkit2gtk	*		Up to (excluding) 2.32.3-r0
	运行在以下环境
	系统	alpine_edge	webkit2gtk	*		Up to (excluding) 2.32.3-r0
	运行在以下环境
	系统	centos_8	webkit2gtk	*		Up to (excluding) 3.28.2-28.el8
	运行在以下环境
	系统	debian_10	webkit2gtk	*		Up to (excluding) 2.32.3-1~deb10u1
	运行在以下环境
	系统	debian_11	webkit2gtk	*		Up to (excluding) 2.32.1-1
	运行在以下环境
	系统	debian_9	webkit2gtk	*		Up to (excluding) 2.18.6-1~deb9u1
	运行在以下环境
	系统	debian_sid	webkit2gtk	*		Up to (excluding) 2.32.2-1
	运行在以下环境
	系统	fedora_33	webkit2gtk	*		Up to (excluding) 2.32.3-1.fc33
	运行在以下环境
	系统	fedora_34	webkit2gtk	*		Up to (excluding) 2.32.3-1.fc34
	运行在以下环境
	系统	opensuse_Leap_15.2	webkit2gtk	*		Up to (excluding) 4-2.32.3-lp152.2.16.1
	运行在以下环境
	系统	opensuse_Leap_15.3	webkit2gtk	*		Up to (excluding) 18-2.32.3-9.1
	运行在以下环境
	系统	oracle_8	webkit2gtk	*		Up to (excluding) 3.32.1-20.el8
	运行在以下环境
	系统	redhat_8	webkit2gtk	*		Up to (excluding) 40.0-15.el8
	运行在以下环境
	系统	suse_12_SP5	webkit2gtk	*		Up to (excluding) 18-2.32.3-2.66.1
	运行在以下环境
	系统	ubuntu_18.04	webkit2gtk	*		Up to (excluding) 2.32.3-0ubuntu0.18.04.1
	运行在以下环境
	系统	ubuntu_20.04	webkit2gtk	*		Up to (excluding) 2.32.3-0ubuntu0.20.04.1
	运行在以下环境
	系统	ubuntu_21.04	webkit2gtk	*		Up to (excluding) 2.32.3-0ubuntu0.21.04.1

攻击路径远程
攻击复杂度复杂
权限要求无需权限
影响范围有限影响
EXP成熟度未验证
补丁情况官方补丁
数据保密性数据泄露
数据完整性无影响
服务器危害无影响
全网数量 N/A

CWE-ID 漏洞类型 CWE-416 释放后使用

正文

webkitgtk webkitgtk 释放后使用

漏洞描述

解决建议

参考链接

受影响软件情况

相关阅读

PHP ‘serialize_function_call()’函数远程代码执行漏洞

PHP远程代码执行漏洞（CNVD-2015-06226）

OpenSSH 至 7.1p1 packet.c ssh_packet_read_poll2 内存破坏漏洞

GNU C Library安全机制绕过漏洞

发表评论取消回复

还没有评论，来说两句吧...

目录[+]