OpenEXR多个高危漏洞通告
时间:2022-12-23 10:00:00
**
点击上面的话题订阅!**
报告编号:B6-2021-062802
报告来源:360CERT
报告作者:360CERT
更新日期:2021-06-28
1
漏洞简述
2021年06月28日,360CERT监测发现OpenEXR发布了多个高危漏洞安全更新在风险通知中,漏洞编号为CVE-2021-20296等,漏洞等级:高危,漏洞评分:8.5。
OpenEXR是专业领域的图像格式,是一种开放标准的高动态范围图像格式,广泛应用于计算机图形学中存储图像数据。
OpenEXR这种格式主要用于专业图像领域,导致攻击者很容易利用漏洞攻击高价值目标。然而,由于它们都是内存漏洞,因此很难攻击。
对此,360CERT建议广大用户及时将``升级到最新版本。同时,请做好资产自查和预防工作,避免黑客攻击。
2
风险等级
360CERT评估结果如下:
| 评定方式 | 等级 |
|---|---|
| 威胁等级 | 高危 |
| 影响面 | 一般 |
| 攻击者价值 | 高 |
| 利用难度 | 高 |
| 360CERT评分 | 8.5 |
3
漏洞详情
CVE-2021-20296: OpenEXR空指针引用漏洞
CVE: CVE-2021-20296
组件: OpenEXR
漏洞类型: 引用空指针
影响: 代码执行,接管用户主机
简述: OpenEXR Imf_2_5::hufUncompress空指针解引漏洞存在。攻击者通过结构特殊EXR图像,在路过OpenEXR代码执行可能会导致处理
CVE-2021-3479: OpenEXR内存越界漏洞
CVE: CVE-2021-3479
组件: OpenEXR
漏洞类型: 内存越界
影响: 代码执行,接管用户主机
简述: OpenEXR openexr_exrenvmap_fuzzer存在内存越界漏洞。攻击者通过结构特殊EXR图像,在路过OpenEXR代码执行可能会导致处理
CVE-2021-3478: OpenEXR内存越界漏洞
CVE: CVE-2021-3478
组件: OpenEXR
漏洞类型: 内存越界
影响: 代码执行,接管用户主机
简述: OpenEXR openexr_exrcheck_fuzzer处存在一处内存越界漏洞。攻击者通过构造特制的EXR图像,在路过OpenEXR代码执行可能会导致处理
CVE-2021-3477: OpenEXR漏洞从缓冲区溢出
CVE: CVE-2021-3477
组件: OpenEXR
漏洞类型: 缓冲区溢出
影响: 代码执行,接管用户主机
简述: OpenEXR Imf_2_5::DeepTiledInputFile::readPixelSampleCounts基于堆的缓冲区有溢出漏洞。攻击者通过特殊结构EXR图像,在路过OpenEXR代码执行可能会导致处理
CVE-2021-3476: OpenEXR移位操作漏洞未定义
CVE: CVE-2021-3476
组件: OpenEXR
漏洞类型: 移位操作未定义
影响: 代码执行,接管用户主机
简述: OpenEXR Imf_2_5::unpack14个地方有一个未定义的移位操作。攻击者构造了特殊的结构EXR图像,在路过OpenEXR代码执行可能会导致处理
CVE-2021-3475: OpenEXR整形外科溢出漏洞
CVE: CVE-2021-3475
组件: OpenEXR
漏洞类型: 整形溢出
影响: 代码执行,接管用户主机
简述: OpenEXR Imf_2_5::calculateNumTiles整形外科有漏洞。攻击者通过结构特殊EXR图像,在路过OpenEXR代码执行可能会导致处理
CVE-2021-3474: OpenEXR移位操作漏洞未定义
CVE: CVE-2021-3474
组件: OpenEXR
漏洞类型: 移位操作未定义
影响: 代码执行,接管用户主机
简述: OpenEXR Imf_2_5::FastHufDecoder::FastHufDecoder有一个未定义的移位操作。攻击者通过结构特殊EXR图像,在路过OpenEXR代码执行可能会导致处理
4
影响版本
| 组件 | 影响版本 | 安全版本 |
|---|---|---|
| OpenEXR:OpenEXR | <=3.0.0 | 3.0.1 |
5
修复建议
根据影响版本中间的信息,调查升级到安全版本
6
产品侧解决方案
如果您想了解更多的产品信息或相关业务需求,可以移动到http://360.net。
360城市网络安全监测服务
360CERT安全分析师使用360安全大脑QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术监测漏洞。可联系相关产品区域负责人或(quake#360.cn)获取相应的产品。
360安全分析响应平台
360安全大脑安全分析响应平台通过网络流量检测和多传感器数据集成,实时检测和阻断了这些漏洞的使用。请联系相关产品区域的负责人或(shaoyulong#360.cn)获取相应的产品。
本地安全脑360
360本地安全大脑是部署360云安全大脑核心能力的开放式全场景安全操作平台,实现安全情况、监控、分析、可追溯性、判断、响应和管理的智能安全操作。360本地安全大脑支持检测相关漏洞的使用。请及时更新网络神经元(探针)规则和本地安全大脑相关分析规则,并做好保护工作。
360终端安全管理系统
360终端安全管理系统软件是一大数据、云计算等新技术为支撑,以可靠服务为保障,集病毒预防和终端安全控制功能于一体的企业级安全产品。
360终端安全管理系统支持相关漏洞的检测和修复,建议用户及时更新漏洞库,安装和更新相关补丁。
7
时间线
2021-05-06 OpenEXR发布安全通知
2021-06-28 360CERT发布通告
8
参考链接
1、 Update CHANGES and SECURITY with recent CVE’s #1001
https://github.com/AcademySoftwareFoundation/openexr/pull/1001/files
9
下载链接下载链接
一直以来,360CERT快速报告和网络安全事件进行快速通报和应急响应。CERT正式推出安全通告特制版报告,以便用户做资料留存、传阅研究与查询验。用户可直接通过以下链接进行特制报告的下载。
OpenEXR多个高危漏洞通告
http://certdl.qihucdn.com/cert-public-file/【360CERT】OpenEXR多个高危漏洞通告/%!s(MISSING).pdf
若有订阅意向与定制需求请扫描下方二维码进行信息填写,或发送邮件至g-cert-report#360.cn ,并附上您的 公司名、姓名、手机号、地区、邮箱地址。
转载自https://mp.weixin.qq.com/s/ikOcJjN9B-KopWnq7x3jdw
