CVE-2021-22564 是 libjxl 库中的一个内存越界漏洞。当处理具有特定特征的 JPEG XL 图像时,解码器可能执行越界内存复制操作,导致信息泄露。该漏洞影响 libjxl 版本小于或等于 0.6.0 的用户。建议尽快升级至修复版本以降低风险。
该漏洞允许攻击者通过精心构造的 JPEG XL 图像触发内存越界读取。攻击者可以利用此漏洞读取堆内存中的敏感信息,例如密钥、密码或其他机密数据。由于 libjxl 库被广泛应用于图像处理应用中,该漏洞的潜在影响范围广泛。在多线程解码环境中,如果线程负载较高且图像组顺序不确定,则更容易受到攻击。攻击者可能通过控制图像组的顺序来触发越界读取,从而获取敏感信息。
该漏洞已公开披露,目前尚未观察到大规模利用。该漏洞的概率评定取决于攻击者构造恶意 JPEG XL 图像的难度以及目标系统对 libjxl 库的依赖程度。目前没有已知的公开利用程序 (PoC),但由于漏洞的潜在影响,建议尽快采取缓解措施。
Applications and systems that rely on libjxl to decode JPEG XL images are at risk. This includes image processing software, web servers serving JPEG XL content, and embedded devices using libjxl for image handling. Systems that process user-uploaded images are particularly vulnerable, as they are more likely to encounter malicious files.
• linux / server: Monitor libjxl process memory usage for unusual spikes during image decoding. Use lsof or ss to identify processes using libjxl and investigate any suspicious network connections.
lsof -p $(pidof libjxl)• generic web: Examine web server access logs for requests containing JPEG XL images with unusually large file sizes. Check error logs for any crashes or exceptions related to libjxl during image processing.
grep 'libjxl' /var/log/nginx/error.logdisclosure
漏洞利用状态
EPSS
0.04% (13% 百分位)
CVSS 向量
最有效的缓解措施是升级至 libjxl 的修复版本。如果无法立即升级,可以考虑以下临时缓解措施:限制接受的 JPEG XL 图像的大小,避免处理来自不受信任来源的图像。在多线程解码环境中,可以尝试调整线程优先级或限制线程数量,以减少图像组顺序不确定性。此外,可以考虑使用 Web 应用防火墙 (WAF) 或代理服务器来过滤恶意图像,阻止其到达 libjxl 解码器。升级后,请验证修复是否成功,例如通过测试已知触发漏洞的图像。
将 libjxl 库升级到 0.6.0 以上版本。 或者,将 https://github.com/libjxl/libjxl/pull/775 中提供的补丁应用于漏洞修复。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2021-22564 是 libjxl 库中发现的内存越界漏洞,影响 libjxl 版本小于或等于 0.6.0 的用户。攻击者可以利用此漏洞读取敏感信息。
如果您正在使用 libjxl 版本小于或等于 0.6.0,则可能受到此漏洞的影响。请尽快升级至修复版本。
建议升级至 libjxl 的修复版本。如果无法立即升级,请考虑临时缓解措施,例如限制接受的图像大小。
目前尚未观察到大规模利用,但由于漏洞的潜在影响,建议尽快采取缓解措施。
请访问 libjxl 的官方网站或 GitHub 仓库,查找有关 CVE-2021-22564 的安全公告。