摘要:
assimp security update
安全等级: Medium
公告ID: KylinSec-SA-2025-2474
发布日期: 2025年5月1日
关联CVE: CVE-2025-3159 CVE-2025-3016 CVE-2025-3160 CVE-2025-3015
Assimp 是一个用于加载和处理多种数据格式几何场景的开源库。该库旨在为游戏引擎和各类实时渲染系统提供完整的资产转换流程,但不仅限于此用途。
安全修复:
1. 在 Open Asset Import Library Assimp 5.4.3 中发现一个关键漏洞,影响组件 ASE 文件处理器的 code/AssetLib/ASE/ASELoader.cpp 文件中的 Assimp::ASEImporter::BuildUniqueRepresentation 函数。参数 mIndices 的异常操作会导致越界读取,攻击者可远程发起攻击。漏洞利用方法已公开,建议升级至 6.0 版本修复此问题,补丁标识为 7c705fde418d68cca4e8eff56be01b2617b0d6fe。(CVE-2025-3015)
2.Assimp 5.4.3 中被评定为中等风险的漏洞,影响组件 MDL 文件处理器的 code/AssetLib/MDL/MDLMaterialLoader.cpp 文件中的 Assimp::MDLImporter::ParseTextureColorData 函数。参数 mWidth/mHeight 的异常操作会导致资源耗尽,攻击者可远程发起攻击。建议升级至 6.0 版本修复,补丁标识为 5d2a7482312db2e866439a8c05a07ce1e718bed1。(CVE-2025-3016)
3.Assimp 5.4.3 中发现的关键漏洞,影响组件 ASE 文件处理器的 code/AssetLib/ASE/ASEParser.cpp 文件中的 Assimp::ASE::Parser::ParseLV4MeshBonesVertices 函数,可导致基于堆的缓冲区溢出。攻击需本地实施,漏洞利用方法已公开。修复补丁标识为 e8a6286542924e628e02749c4f5ac4f91fdae71b。(CVE-2025-3159)
4.Assimp 5.4.3 中被评定为中等风险的漏洞,影响文件处理组件的 code/Common/SceneCombiner.cpp 文件中的 Assimp::SceneCombiner::AddNodeHashes 函数,可导致越界读取。攻击需本地实施,漏洞利用方法已公开。修复补丁标识为 a0993658f40d8e13ff5823990c30b43c82a5daf0。(CVE-2025-3160)
| cve名称 | 产品 | 组件 | 是否受影响 |
|---|---|---|---|
| CVE-2025-3159 | V6 | assimp | Fixed |
| CVE-2025-3016 | V6 | assimp | Fixed |
| CVE-2025-3160 | V6 | assimp | Fixed |
| CVE-2025-3015 | V6 | assimp | Fixed |
| 软件名称 | 架构 | 版本号 |
|---|---|---|
| assimp-help | noarch | 5.3.1-9.ks6 |
| python3-assimp | noarch | 5.3.1-9.ks6 |
| assimp | x86_64 | 5.3.1-9.ks6 |
| assimp-devel | x86_64 | 5.3.1-9.ks6 |
| assimp | aarch64 | 5.3.1-9.ks6 |
| assimp-devel | aarch64 | 5.3.1-9.ks6 |
方法一:下载安装包进行升级安装
1、通过下载链接下载需要升级的升级包保存,如 xxx.rpm
2、通过rpm命令升级,如 rpm -Uvh xxx.rpm
方法二:通过软件源进行升级安装
1、保持能够连接上互联网
2、通过yum命令升级指定的包,如 yum install 包名
