Plataforma
c
Componente
libjxl
Corrigido em
0.6.1
A vulnerabilidade CVE-2021-22564 afeta a biblioteca libjxl em versões até 0.6.0. Ela permite que imagens JPEG XL especialmente criadas causem uma escrita fora dos limites da memória, potencialmente levando a uma negação de serviço ou execução remota de código. A vulnerabilidade ocorre durante o processo de decodificação de imagens com dimensões específicas e ordem de processamento de grupos de pixels. A atualização para uma versão corrigida é a solução recomendada.
Um atacante pode explorar esta vulnerabilidade enviando uma imagem JPEG XL malformada para um sistema que utiliza a biblioteca libjxl para decodificação. A imagem deve ter um tamanho ligeiramente maior que um número inteiro de grupos (256x256 pixels) e os grupos devem ser processados fora de ordem. Isso pode levar a uma cópia de pixels fora dos limites da memória, sobrescrevendo dados críticos e potencialmente permitindo a execução de código arbitrário. O impacto pode variar dependendo do contexto de uso da biblioteca, mas em cenários críticos, como servidores de mídia ou aplicações de processamento de imagens, a exploração pode resultar em comprometimento total do sistema. A vulnerabilidade se assemelha a outros ataques de escrita fora dos limites que exploram erros de gerenciamento de memória.
A vulnerabilidade foi divulgada em 01 de novembro de 2021. Não há informações disponíveis sobre exploração ativa em campanhas direcionadas. A existência de um Proof of Concept (PoC) público pode aumentar o risco de exploração. A vulnerabilidade não está listada no CISA KEV (Known Exploited Vulnerabilities) até o momento.
Applications and systems that rely on libjxl to decode JPEG XL images are at risk. This includes image processing software, web servers serving JPEG XL content, and embedded devices using libjxl for image handling. Systems that process user-uploaded images are particularly vulnerable, as they are more likely to encounter malicious files.
• linux / server: Monitor libjxl process memory usage for unusual spikes during image decoding. Use lsof or ss to identify processes using libjxl and investigate any suspicious network connections.
lsof -p $(pidof libjxl)• generic web: Examine web server access logs for requests containing JPEG XL images with unusually large file sizes. Check error logs for any crashes or exceptions related to libjxl during image processing.
grep 'libjxl' /var/log/nginx/error.logdisclosure
Status do Exploit
EPSS
0.04% (percentil 13%)
Vetor CVSS
A mitigação primária para CVE-2021-22564 é atualizar a biblioteca libjxl para uma versão corrigida. Verifique a disponibilidade de atualizações no site oficial do projeto libjxl ou através do gerenciador de pacotes do seu sistema operacional. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere implementar medidas de proteção adicionais, como a validação rigorosa das imagens JPEG XL antes da decodificação, limitando o tamanho máximo das imagens processadas e restringindo o acesso à biblioteca libjxl apenas a usuários confiáveis. A implementação de um Web Application Firewall (WAF) com regras para detectar e bloquear imagens JPEG XL malformadas também pode ajudar a mitigar o risco.
Atualize a biblioteca libjxl para uma versão posterior a 0.6.0. Alternativamente, aplique o patch fornecido em https://github.com/libjxl/libjxl/pull/775 para corrigir a vulnerabilidade.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2021-22564 is a medium severity vulnerability in libjxl versions up to 0.6.0 that allows a crafted JPEG XL image to trigger a heap buffer overflow, potentially leading to denial of service.
You are affected if you are using libjxl version 0.6.0 or earlier and process untrusted JPEG XL images.
Upgrade to a patched version of libjxl. Consult the libjxl project's website for the latest release and instructions.
There is currently no evidence of active exploitation campaigns targeting CVE-2021-22564.
Refer to the libjxl project's security advisories or GitHub repository for updates and information related to CVE-2021-22564.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.