CVE-2023-29146 — Агенты Malwarebytes — Коллизия хэшей

РЕЗЮМЕ:

The utility functions used, by Malwarebytes Endpoint Agent for Linux before 1.1.64 and Malwarebytes for Windows v5 having an update package version < 1.0.106875 , for calculating a cryptographic hash of data bytes, truncate the hashed data if it exceeds 4GB. This could lead to colliding hash values for two different strings in some scenarios and detection misses.

ЗАТРОНУТЫЕ ВЕРСИИ

  • Endpoint Agent for Linux < 1.1.64
  • Malwarebytes for Windows v5 having an update package version <1.0.106875

ИСПРАВЛЕННЫЕ ВЕРСИИ

  • Агент конечной точки для Linux >= 1.1.64
  • Malwarebytes Windows >= 5.2.6.163 | Версия пакета обновлений >= 1.0.106875

РЕКОМЕНДАЦИИ ПО СМЯГЧЕНИЮ ПОСЛЕДСТВИЙ

Мы рекомендуем обновить затронутые конечные точки до исправленных версий.

ПОДРОБНОСТИ

CWECVS 3.xВектор
CWE-190: Переполнение целого числа8.2 ВысокийМестный