Összefoglaló
A Graphviz sérülékenységét jelentették, melyet kihasználva a támadók hozzáférhetnek a felhasználó rendszeréhez.
Leírás
A sérülékenységet a “yyerror()” (lib/cgraph/scan.l) funkció hibája okozza, mely kihasználható verem alapú buffer túlcsordulás előidézésére a speciálisan formázott fájlokon kereszül.
A sérülékenységet a 2.34.0 verzióból jelentették, ám egyéb kiadások is érintettek lehetnek.
Megoldás
A hiba javítása a forráskód-tárban megtörtént.
Támadás típusa
System access (Rendszer hozzáférés)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 55666
Egyéb referencia: github.com