1. 修复的CVE信息
CVE-2021-3478
Industrial Light And Magic(lim) LIM OpenEXR是美国Industrial Light and Magic(LIM)(Industrial Light And Magic(lim))公司的一种图像文件格式,适用于高动态范围(HDR)图像。OpenEXR 中的 Scanline API functionality in versions before 3.0.0-beta 存在安全漏洞,攻击者可利用该漏洞可以提交一个精心制作的文件让OpenEXR处理,这可能会消耗过多的系统内存。
CVE-2021-3479
Industrial Light And Magic(lim) LIM OpenEXR是美国Industrial Light and Magic(LIM)(Industrial Light And Magic(lim))公司的一种图像文件格式,适用于高动态范围(HDR)图像。OpenEXR 中的 Scanline API functionality in versions before 3.0.0-beta 存在安全漏洞,攻击者可利用该漏洞可能会引发内存的过度消耗,从而对系统可用性造成影响。
CVE-2021-3474
Industrial Light And Magic(lim) LIM OpenEXR是美国Industrial Light and Magic(LIM)(Industrial Light And Magic(lim))公司的一种图像文件格式,适用于高动态范围(HDR)图像。OpenEXR in versions before 3.0.0-beta 存在安全漏洞,该漏洞源于由OpenEXR处理的精心制作的输入文件可能会导致FastHufDecoder中的移位溢出。
CVE-2021-3475
Industrial Light And Magic(lim) OpenEXR是美国Industrial Light and Magic(LIM)(Industrial Light And Magic(lim))公司的一种图像文件格式,适用于高动态范围(HDR)图像。OpenEXR in versions before 3.0.0-beta 存在安全漏洞,攻击者可利用该漏洞提交了一个精心制作的文件会导致整数溢出。
CVE-2021-3476
Industrial Light And Magic(lim) LIM OpenEXR是美国Industrial Light and Magic(LIM)(Industrial Light And Magic(lim))公司的一种图像文件格式,适用于高动态范围(HDR)图像。OpenEXR B44 uncompression 存在安全漏洞,攻击者可利用该漏洞触发移位溢出,潜在地影响应用程序的可用性。
CVE-2021-3477
Industrial Light And Magic(lim) LIM OpenEXR是美国Industrial Light and Magic(LIM)(Industrial Light And Magic(lim))公司的一种图像文件格式,适用于高动态范围(HDR)图像。OpenEXR 中的 deep tile sample size calculations in versions before 3.0.0-beta 存在安全漏洞,攻击者可利用该漏洞触发整数溢出,随后导致越界读取。
2. 受影响的软件包
银河麒麟桌面操作系统V4
libopenexr-dev
libopenexr22
openexr
openexr-doc
银河麒麟桌面操作系统V10
libopenexr-dev
libopenexr22
openexr
openexr-doc
银河麒麟桌面操作系统V10 SP1
libopenexr-dev
libopenexr24
openexr
openexr-doc
3. 影响的操作系统
银河麒麟桌面操作系统V10
银河麒麟桌面操作系统V10 SP1
银河麒麟桌面操作系统V4
银河麒麟桌面操作系统V4 SP3
银河麒麟桌面操作系统V4 SP2
银河麒麟桌面操作系统V4 SP1
银河麒麟桌面操作系统V4 SP4
4. 修复版本
软件包:openexr
2.2.0-10kord2.6(V4,V10)
2.3.0-6kylin0.5(V10 SP1)
5. 修复方法
方法一:配置源进行升级安装
打开软件包源配置文件,根据仓库地址进行修改。
4.0.2桌面版本:http://archive.kylinos.cn/kylin/KYLIN-ALL 4.0.2-desktop main restricted universe multiverse
4.0.2-sp1桌面版本:http://archive.kylinos.cn/kylin/KYLIN-ALL 4.0.2sp1-desktop main restricted universe multiverse
4.0.2-sp2桌面版本:http://archive.kylinos.cn/kylin/KYLIN-ALL 4.0.2sp2-desktop main restricted universe multiverse
4.0.2-sp3桌面版本:http://archive.kylinos.cn/kylin/KYLIN-ALL 4.0.2sp3-desktop main restricted universe multiverse
4.0.2-sp4桌面版本:http://archive.kylinos.cn/kylin/KYLIN-ALL 4.0.2sp4-desktop main restricted universe multiverse
10.0版本:http://archive.kylinos.cn/kylin/KYLIN-ALL 10SP1 main restricted universe multiverse
10SP1专业版本:http://archive.kylinos.cn/kylin/KYLIN-ALL 10.1 main restricted universe multiverse
配置完成后执行更新命令进行升级,$sudo apt update。
方法二:下载安装包进行升级安装
通过软件包地址下载软件包,使用软件包升级命令根据受影响的组件包列表 升级相关的组件包。$dpkg -i Packagelists
6. 软件包下载地址
银河麒麟桌面操作系统V10 SP1
X86下载地址
http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/o/openexr/openexr_2.3.0-6kylin0.5_amd64.deb
http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/o/openexr/libopenexr24_2.3.0-6kylin0.5_amd64.deb
http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/o/openexr/openexr-doc_2.3.0-6kylin0.5_all.deb
银河麒麟桌面操作系统V4及V10
X86下载地址
http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/o/openexr/openexr_2.2.0-10kord2.6_amd64.deb
http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/o/openexr/libopenexr22_2.2.0-10kord2.6_amd64.deb
http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/o/openexr/openexr-doc_2.2.0-10kord2.6_all.deb
