1. 修复的CVE信息

• CVE-2021-3478

  Industrial Light And Magic（lim） LIM OpenEXR是美国Industrial Light and Magic（LIM）（Industrial Light And Magic（lim））公司的一种图像文件格式，适用于高动态范围（HDR）图像。OpenEXR 中的 Scanline API functionality in versions before 3.0.0-beta 存在安全漏洞，攻击者可利用该漏洞可以提交一个精心制作的文件让OpenEXR处理，这可能会消耗过多的系统内存。

• CVE-2021-3479

  Industrial Light And Magic（lim） LIM OpenEXR是美国Industrial Light and Magic（LIM）（Industrial Light And Magic（lim））公司的一种图像文件格式，适用于高动态范围（HDR）图像。OpenEXR 中的 Scanline API functionality in versions before 3.0.0-beta 存在安全漏洞，攻击者可利用该漏洞可能会引发内存的过度消耗，从而对系统可用性造成影响。

• CVE-2021-3474

  Industrial Light And Magic（lim） LIM OpenEXR是美国Industrial Light and Magic（LIM）（Industrial Light And Magic（lim））公司的一种图像文件格式，适用于高动态范围（HDR）图像。OpenEXR in versions before 3.0.0-beta 存在安全漏洞，该漏洞源于由OpenEXR处理的精心制作的输入文件可能会导致FastHufDecoder中的移位溢出。

• CVE-2021-3475

  Industrial Light And Magic（lim） OpenEXR是美国Industrial Light and Magic（LIM）（Industrial Light And Magic（lim））公司的一种图像文件格式，适用于高动态范围（HDR）图像。OpenEXR in versions before 3.0.0-beta 存在安全漏洞，攻击者可利用该漏洞提交了一个精心制作的文件会导致整数溢出。

• CVE-2021-3476

  Industrial Light And Magic（lim） LIM OpenEXR是美国Industrial Light and Magic（LIM）（Industrial Light And Magic（lim））公司的一种图像文件格式，适用于高动态范围（HDR）图像。OpenEXR B44 uncompression 存在安全漏洞，攻击者可利用该漏洞触发移位溢出，潜在地影响应用程序的可用性。

• CVE-2021-3477

  Industrial Light And Magic（lim） LIM OpenEXR是美国Industrial Light and Magic（LIM）（Industrial Light And Magic（lim））公司的一种图像文件格式，适用于高动态范围（HDR）图像。OpenEXR 中的 deep tile sample size calculations in versions before 3.0.0-beta 存在安全漏洞，攻击者可利用该漏洞触发整数溢出，随后导致越界读取。

2. 受影响的软件包

• 银河麒麟桌面操作系统V4

  libopenexr-dev

  libopenexr22

  openexr

  openexr-doc

• 银河麒麟桌面操作系统V10

  libopenexr-dev

  libopenexr22

  openexr

  openexr-doc

• 银河麒麟桌面操作系统V10 SP1

  libopenexr-dev

  libopenexr24

  openexr

  openexr-doc

3. 影响的操作系统

• 银河麒麟桌面操作系统V10

• 银河麒麟桌面操作系统V10 SP1

• 银河麒麟桌面操作系统V4

• 银河麒麟桌面操作系统V4 SP3

• 银河麒麟桌面操作系统V4 SP2

• 银河麒麟桌面操作系统V4 SP1

• 银河麒麟桌面操作系统V4 SP4
  
  

4. 修复版本

• 软件包：openexr

  2.2.0-10kord2.6(V4,V10)

  2.3.0-6kylin0.5(V10 SP1)

5. 修复方法

方法一：配置源进行升级安装

打开软件包源配置文件，根据仓库地址进行修改。

4.0.2桌面版本：http://archive.kylinos.cn/kylin/KYLIN-ALL 4.0.2-desktop main restricted universe multiverse

4.0.2-sp1桌面版本：http://archive.kylinos.cn/kylin/KYLIN-ALL 4.0.2sp1-desktop main restricted universe multiverse

4.0.2-sp2桌面版本：http://archive.kylinos.cn/kylin/KYLIN-ALL 4.0.2sp2-desktop main restricted universe multiverse

4.0.2-sp3桌面版本：http://archive.kylinos.cn/kylin/KYLIN-ALL 4.0.2sp3-desktop main restricted universe multiverse

4.0.2-sp4桌面版本：http://archive.kylinos.cn/kylin/KYLIN-ALL 4.0.2sp4-desktop main restricted universe multiverse

10.0版本：http://archive.kylinos.cn/kylin/KYLIN-ALL 10SP1 main restricted universe multiverse

10SP1专业版本：http://archive.kylinos.cn/kylin/KYLIN-ALL 10.1 main restricted universe multiverse

配置完成后执行更新命令进行升级，$sudo apt update。
方法二：下载安装包进行升级安装

通过软件包地址下载软件包，使用软件包升级命令根据受影响的组件包列表 升级相关的组件包。$dpkg -i Packagelists

6. 软件包下载地址

• 银河麒麟桌面操作系统V10 SP1
  X86下载地址

  http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/o/openexr/libopenexr-dev_2.3.0-6kylin0.5_amd64.deb

  http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/o/openexr/openexr_2.3.0-6kylin0.5_amd64.deb
  

  http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/o/openexr/libopenexr24_2.3.0-6kylin0.5_amd64.deb

  http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/o/openexr/openexr-doc_2.3.0-6kylin0.5_all.deb

• 银河麒麟桌面操作系统V4及V10
  X86下载地址

  http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/o/openexr/libopenexr-dev_2.2.0-10kord2.6_amd64.deb

  http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/o/openexr/openexr_2.2.0-10kord2.6_amd64.deb

  http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/o/openexr/libopenexr22_2.2.0-10kord2.6_amd64.deb

  http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/o/openexr/openexr-doc_2.2.0-10kord2.6_all.deb