Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-01566

Опубликовано: 18 авг. 2017
Источник: fstec
CVSS3: 9.8
CVSS2: 7.5
EPSS Низкий

Описание

Уязвимость функции pgxtovolume (jp3d/convert.c) библиотеки для кодирования/декодирования изображений OpenJPEG связана с записью за границы буфера данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании и выполнить произвольный код

Вендор

Сообщество свободного программного обеспечения
ООО «РусБИТех-Астра»
АО "НППКТ"

Наименование ПО

Debian GNU/Linux
Astra Linux Special Edition
OpenJPEG
Astra Linux Special Edition для «Эльбрус»
ОСОН ОСнова Оnyx

Версия ПО

9 (Debian GNU/Linux)
1.6 «Смоленск» (Astra Linux Special Edition)
до 2.3.0 включительно (OpenJPEG)
8 (Debian GNU/Linux)
8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
до 2.5 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Сообщество свободного программного обеспечения Debian GNU/Linux 8
ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Для openjpeg2:
Обновление программного обеспечения до 2.3.0-2 или более поздней версии
Для Debian:
Обновление программного обеспечения (пакета openjpeg2) до 2.1.0-2+deb8u6 или более поздней версии
Для Astra Linux использование рекомендаций, приведенных в бюллетени № 20191225SE81:
https://wiki.astralinux.ru/pages/viewpage.action?pageId=67111271
Для ОСОН Основа:
Обновление программного обеспечения openjpeg2 до версии 2.4.0-3
Для ОС Astra Linux 1.6 «Смоленск»:
обновить пакет openjpeg2 до 2.1.2-1.1+deb9u3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/pages/viewpage.action?pageId=57444186

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 88%
0.03921
Низкий

9.8 Critical

CVSS3

7.5 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2017-17480

CVSS3: 9.8
ubuntu
около 8 лет назад

In OpenJPEG 2.3.0, a stack-based buffer overflow was discovered in the pgxtovolume function in jp3d/convert.c. The vulnerability causes an out-of-bounds write, which may lead to remote denial of service or possibly remote code execution.

redhat логотип

CVE-2017-17480

CVSS3: 5.3
redhat
около 8 лет назад

In OpenJPEG 2.3.0, a stack-based buffer overflow was discovered in the pgxtovolume function in jp3d/convert.c. The vulnerability causes an out-of-bounds write, which may lead to remote denial of service or possibly remote code execution.

nvd логотип

CVE-2017-17480

CVSS3: 9.8
nvd
около 8 лет назад

In OpenJPEG 2.3.0, a stack-based buffer overflow was discovered in the pgxtovolume function in jp3d/convert.c. The vulnerability causes an out-of-bounds write, which may lead to remote denial of service or possibly remote code execution.

debian логотип

CVE-2017-17480

CVSS3: 9.8
debian
около 8 лет назад

In OpenJPEG 2.3.0, a stack-based buffer overflow was discovered in the ...

github логотип

GHSA-j9x9-9h4c-f6v6

CVSS3: 9.8
github
больше 3 лет назад

In OpenJPEG 2.3.0, a stack-based buffer overflow was discovered in the pgxtovolume function in jp3d/convert.c. The vulnerability causes an out-of-bounds write, which may lead to remote denial of service or possibly remote code execution.

EPSS

Процентиль: 88%
0.03921
Низкий

9.8 Critical

CVSS3

7.5 High

CVSS2