Vulnérabilités dans l’outil de compression zstd
Date de publication :
CVE-2021-24031, CVE-2021-24032 [Score CVSS v3 : 9.1] : Dans l'utilitaire de ligne de commande Zstandard, les fichiers de sortie étaient créés avec des permissions par défaut. Les permissions correctes des fichiers (correspondant à l'entrée) n'étaient définies qu'au moment de l'achèvement de la décompression. Les fichiers de sortie pouvaient donc temporairement être lus ou écrits par un attaquant distant et non-authentifié.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Expositions d’informations sensibles
- Violation des politiques de sécurité
Criticité
- Score CVSS v3 : 9.1
Existence d’un code d’exploitation
- Aucun code d'exploitation n’est disponible publiquement à l’heure actuelle.
Composants vulnérables
Les versions de 1.3.8 jusqu’à 1.4.9 de zstd impactées par ces vulnérabilités.
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour zstd vers la version 1.4.9 ou ultérieure.
Solution de contournement
Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.