प्लेटफ़ॉर्म
c
घटक
openexr
में ठीक किया गया
3.2.1
3.3.1
3.4.1
CVE-2026-34379 OpenEXR लाइब्रेरी में एक मेमोरी मिसअलाइनमेंट भेद्यता है, जो EXR फ़ाइल प्रारूप के लिए एक संदर्भ कार्यान्वयन प्रदान करती है। इस भेद्यता के कारण, FLOAT-टाइप चैनल वाले DWA या DWAB-संपीड़ित EXR फ़ाइल को डिकोड करते समय मेमोरी को गलत तरीके से लिखा जा सकता है, जिससे संभावित रूप से एप्लिकेशन क्रैश हो सकता है। यह भेद्यता OpenEXR के संस्करण 3.2.0 से 3.4.9 (विशेष रूप से 3.2.0–>= 3.4.0, < 3.4.9) को प्रभावित करती है। 3.2.7 संस्करण में इस समस्या का समाधान किया गया है।
OpenEXR में CVE-2026-34379 संस्करण 3.2.0 से 3.2.6, 3.3.9 और 3.4.9 को प्रभावित करता है। यह DWA/DWAB डिकोडर में LossyDctDecoderexecute() फ़ंक्शन में होने वाली मेमोरी ओवरराइट है। विशेष रूप से, जब DWA या DWAB के साथ संपीड़ित EXR फ़ाइलों को डिकोड किया जाता है जिसमें FLOAT प्रकार के चैनल होते हैं, तो डिकोडर HALF से FLOAT में इन-प्लेस रूपांतरण करता है। इस रूपांतरण में एक गलत संरेखित uint8t * row पॉइंटर शामिल है, जिससे अमान्य मेमोरी एक्सेस और संभावित रूप से दुर्भावनापूर्ण कोड निष्पादन हो सकता है। CVSS स्कोर 7.1 है, जो उच्च जोखिम दर्शाता है। वीडियो संपादन और विज़ुअल इफेक्ट्स सॉफ़्टवेयर जैसे उत्पादन वातावरण में EXR फ़ाइलों को संसाधित करने वाले अनुप्रयोगों के लिए यह भेद्यता विशेष रूप से प्रासंगिक है।
एक हमलावर DWA या DWAB संपीड़न के साथ एक दुर्भावनापूर्ण EXR फ़ाइल बनाकर इस भेद्यता का फायदा उठा सकता है जिसमें एक FLOAT चैनल शामिल है जिसे मेमोरी ओवरराइट को ट्रिगर करने के लिए डिज़ाइन किया गया है। OpenEXR के एक कमजोर संस्करण के साथ इस दुर्भावनापूर्ण EXR फ़ाइल को संसाधित करके, हमलावर सिस्टम पर मनमाना कोड निष्पादित कर सकता है। शोषण की जटिलता पर्यावरण और सुरक्षा उपायों के आधार पर भिन्न हो सकती है। दुर्भावनापूर्ण EXR फ़ाइल बनाने के लिए EXR प्रारूप और DWA/DWAB डिकोडर के संचालन की गहरी समझ की आवश्यकता होती है। शोषण की संभावना OpenEXR के कमजोर संस्करणों के उपयोग की व्यापकता और दुर्भावनापूर्ण EXR फ़ाइलों को बनाने के लिए उपकरणों की उपलब्धता पर निर्भर करती है।
Motion picture production studios and post-production houses that rely on OpenEXR for image processing are particularly at risk. Systems involved in automated image processing pipelines, especially those handling user-uploaded EXR files, are also vulnerable. Any environment utilizing older, unpatched versions of OpenEXR is potentially exposed.
• linux / server:
journalctl -g "OpenEXR" -f | grep -i "memory access violation"• c: (Requires debugging tools and memory analysis)
Examine core dumps or crash reports related to OpenEXR for memory access violations within the LossyDctDecoder_execute() function. Use debuggers like GDB to step through the code and identify the misaligned memory write.
• generic web:
Monitor web server access logs for requests containing EXR files with unusual compression or channel types. Look for patterns that might indicate malicious file uploads or processing.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.06% (19% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता के लिए समाधान OpenEXR के उस संस्करण में अपग्रेड करना है जिसमें फिक्स शामिल है। प्रभावित संस्करण 3.2.0 से 3.2.6, 3.3.9 और 3.4.9 हैं। पैच किए गए संस्करण 3.2.7, 3.3.9 और 3.4.9 हैं। नवीनतम स्थिर रिलीज़ में अपग्रेड करने की दृढ़ता से अनुशंसा की जाती है। इसके अतिरिक्त, OpenEXR का उपयोग करने वाले कोड की समीक्षा करें ताकि दुर्भावनापूर्ण EXR फ़ाइलों को संसाधित किए जा सकने वाले संभावित प्रवेश बिंदुओं की पहचान की जा सके। मजबूत इनपुट सत्यापन लागू करने से जोखिम को कम करने में मदद मिल सकती है, हालांकि पैच किए गए संस्करण में अपग्रेड करना सबसे प्रभावी उपाय है।
Actualice la biblioteca OpenEXR a la versión 3.2.7 o superior, 3.3.9 o superior, o 3.4.9 o superior para mitigar la vulnerabilidad. La actualización corrige el error de escritura desalineada en la función LossyDctDecoder_execute, evitando el comportamiento indefinido y posibles fallos.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
3.2.0 से 3.2.6, 3.3.9 और 3.4.9 संस्करण CVE-2026-34379 के प्रति कमजोर हैं।
आप अपने ऑपरेटिंग सिस्टम के दस्तावेज़ों की जांच करके या पैकेज प्रबंधन उपकरणों का उपयोग करके स्थापित OpenEXR संस्करण की जांच कर सकते हैं।
DWA और DWAB EXR प्रारूप में उपयोग किए जाने वाले संपीड़न एल्गोरिदम हैं जो फ़ाइल आकार को कम करते हैं।
इसका मतलब है कि प्रोग्राम उस मेमोरी स्थान पर डेटा लिखने का प्रयास कर रहा है जो लिखे जा रहे डेटा प्रकार के लिए सही ढंग से संरेखित नहीं है, जिससे त्रुटियां और कमजोरियां हो सकती हैं।
आप इसकी आधिकारिक वेबसाइट पर OpenEXR के बारे में अधिक जानकारी पा सकते हैं: https://www.openexr.com/
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।