Vulnérabilité sur la bibliothèque libgetdata
Date de publication :
CVE-2021-20204[Score CVSS v3.1: 9.8]
Cette vulnérabilité date du 03 mai 2021 et a été mise à jour le 25/11/2021.
Un attaquant peut utiliser une zone mémoire libérée via Dirfile Database de la librairie libgetdata, afin de mener un déni de service, et éventuellement d'exécuter du code.
Le projet GetData est l'implémentation de référence des normes Dirfile, un format de base de données basé sur un système de fichiers et orienté colonnes pour les données binaires ordonnées dans le temps. Le format de base de données Dirfile est conçu pour fournir un format simple et rapide pour le stockage et la lecture des données.
Cette vulnérabilité, avec un fichier forgé malveillant peut conduire à l'exécution de code arbitraire par un utilisateur connecté sur la machine ou à une élévation de privilèges, en fonction des fichiers soumis et/ou des compétences de l'attaquant.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Déni de service
- Exécution de code arbitraire
Criticité
- Score CVSS v3.1: 9.8
CVE
Composants vulnérables.
- Tous les composants utilisant une version inférieure à la librairie libf95getdata7
Solutions ou recommandations
- Pour les distributions Linux, mettre à jour vers la version 0.9.4-1.