Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-04176

Опубликовано: 23 мая 2017
Источник: fstec
CVSS3: 5.5
CVSS2: 4.9
EPSS Низкий

Описание

Уязвимость компонента ParseJSS программы-медиапроигрывателя VideoLAN VLC вызвана чтением за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю получить несанкционированный доступ к защищаемой информации с помощью специально созданного файла

Вендор

ООО «РусБИТех-Астра»
Сообщество свободного программного обеспечения
VideoLAN organization

Наименование ПО

Astra Linux Special Edition
Debian GNU/Linux
VLC Media Player

Версия ПО

1.6 «Смоленск» (Astra Linux Special Edition)
8 (Debian GNU/Linux)
до 2.2.6 (VLC Media Player)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Сообщество свободного программного обеспечения Debian GNU/Linux 8

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,9)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Astra Linux:
https://wiki.astralinux.ru/pages/viewpage.action?pageId=44892734
Для VLC Media Player:
http://git.videolan.org/?p=vlc.git;a=blobdiff;f=modules/demux/subtitle.c;h=5e4fcdb7f25b2819f5441156c7c0ea2a7d112ca3;hp=2a75fbfb7c3f56b24b2e4498bbb8fe0aa2575974;hb=611398fc8d32f3fe4331f60b220c52ba3557beaa;hpb=075bc7169b05b004fa0250e4a4ce5516b05487a9
Для Debian GNU/Linux:
https://www.debian.org/security/2017/dsa-3899

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 56%
0.00338
Низкий

5.5 Medium

CVSS3

4.9 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2017-8312

CVSS3: 5.5
ubuntu
больше 8 лет назад

Heap out-of-bound read in ParseJSS in VideoLAN VLC due to missing check of string length allows attackers to read heap uninitialized data via a crafted subtitles file.

nvd логотип

CVE-2017-8312

CVSS3: 5.5
nvd
больше 8 лет назад

Heap out-of-bound read in ParseJSS in VideoLAN VLC due to missing check of string length allows attackers to read heap uninitialized data via a crafted subtitles file.

debian логотип

CVE-2017-8312

CVSS3: 5.5
debian
больше 8 лет назад

Heap out-of-bound read in ParseJSS in VideoLAN VLC due to missing chec ...

github логотип

GHSA-f5gw-wx32-xw5r

CVSS3: 5.5
github
больше 3 лет назад

Heap out-of-bound read in ParseJSS in VideoLAN VLC due to missing check of string length allows attackers to read heap uninitialized data via a crafted subtitles file.

EPSS

Процентиль: 56%
0.00338
Низкий

5.5 Medium

CVSS3

4.9 Medium

CVSS2