Vulnérabilité dans l’algorithme de compression lz4
Date de publication :
CVE-2021-3520 [Score CVSS v3 : 9.8]
Une vulnérabilité a été corrigée dans lz4. L’envoi d’un fichier spécifiquement modifié à une application liée à lz4 peut déclencher un débordement d'entier, conduisant à l'appel de memmove() sur un argument de taille négative, provoquant une écriture hors limites. Un attaquant distant et non authentifié peut déclencher un déni de service et potentiellement une injection de code arbitraire en exploitant cette vulnérabilité.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Risques
- Déni de service
- Injection de code arbitraire
Criticité
- Score CVSS v3 : 9.8
Existence d’un code d’exploitation
- Un exemple d'exploit est détaillé ici.
Composants vulnérables
- Les versions de lz4 antérieures à 1.8.3 sont impactées par cette vulnérabilités
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour lz4 vers la version 1.8.4 ou ultérieure.
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.