Mehrere der Schwachstellen führen zu einem Denial-of-Service durch Speichererschöpfung. So fehlt bei der Verarbeitung bestimmter HTTP-Anfragen eine Begrenzung der Größe entpackter Daten: Da der Speicher anhand von Metadaten reserviert wird, die ein Angreifer kontrolliert, lässt sich über eine sogenannte GZIP-Dekompressionsbombe der Arbeitsspeicher erschöpfen. Ein vergleichbarer Fehler steckt in der Verarbeitung von ZIP-Archiven: Der Server vertraut den Metadaten zur unkomprimierten Dateigröße, sodass gefälschte Größenangaben ihn dazu bringen können, beim Entpacken extrem große Puffer anzulegen.
Auch der HTTP-Server reserviert Speicher unmittelbar auf Grundlage benutzergesteuerter Header-Werte. Eine Anfrage mit einem überhöhten Längenwert kann den Server so zum Abbruch bringen. Hinzu kommt ein Lesezugriff außerhalb der Speichergrenzen im Parser des Meta-Headers, der auf einer mangelhaften Eingabeprüfung in der Verarbeitungslogik beruht.
Zwei weitere Fehler dieser Art betreffen die Dekodierung von Bilddaten. Bei der Dekompressionsroutine für das proprietäre Philips-Compression-Format werden die Escape-Markierungen am Ende des komprimierten Datenstroms nur unzureichend geprüft. Laut CERT/CC kann „eine präparierte Bytefolge am Pufferende dazu führen, dass der Decoder über den reservierten Speicherbereich hinausliest und Heap-Daten in die gerenderte Bildausgabe gelangen“. Eine weitere Schwachstelle liegt in der Logik zur Dekodierung von Lookup-Tabellen bei Palettenfarbbildern, die Pixelindizes nicht prüft und sich über präparierte Bilder mit Indizes ausnutzen lässt, die größer als die Palette sind.
Die drei verbleibenden Defekte sind Heap-basierte Pufferüberläufe im Bilddecoder, in der Dekodierung von Palettenfarbbildern und in der Verarbeitung von PAM-Bildern. Sie können einen Speicherzugriff außerhalb der Grenzen auslösen.
„Die schwerwiegendsten Probleme sind Heap-basierte Pufferüberläufe in der Logik zum Parsen und Dekodieren von Bildern, die den Orthanc-Prozess zum Absturz bringen und unter bestimmten Bedingungen einen Weg zur Remote-Code-Ausführung (RCE) eröffnen können“, heißt es in der Sicherheitsmeldung des CERT/CC.
