BDU:2020-01530

Опубликовано: 14 июл. 2019

Источник: fstec

CVSS3: 7.8

CVSS2: 9.3

EPSS Низкий

Описание

Уязвимость компонента backend/tiff/tiff-document.c программного средства просмотра документов Evince вызвана переполнением буфера. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код с помощью специально созданного PDF-файла

Вендор

Canonical Ltd.

Сообщество свободного программного обеспечения

ООО «РусБИТех-Астра»

Novell Inc.

АО «Концерн ВНИИНС»

Наименование ПО

Ubuntu

Debian GNU/Linux

Astra Linux Special Edition

Suse Linux Enterprise Desktop

SUSE Enterprise Storage

SUSE Linux Enterprise Server for SAP Applications

SUSE Linux Enterprise Software Development Kit

SUSE Linux Enterprise Workstation Extension

SUSE OpenStack Cloud

SUSE Linux Enterprise Module for Open Buildservice Development Tools

Suse Linux Enterprise Server

OpenSUSE Leap

SUSE Linux Enterprise Module for Desktop Applications

SUSE Linux Enterprise Point of Sale

HPE Helion Openstack

SUSE Linux Enterprise High Performance Computing

Astra Linux Special Edition для «Эльбрус»

Evince

ОС ОН «Стрелец»

Версия ПО

16.04 LTS (Ubuntu)

9 (Debian GNU/Linux)

1.6 «Смоленск» (Astra Linux Special Edition)

12 SP4 (Suse Linux Enterprise Desktop)

4 (SUSE Enterprise Storage)

12 SP2 (SUSE Linux Enterprise Server for SAP Applications)

12 SP2-BCL (SUSE Linux Enterprise Server for SAP Applications)

12 SP2-ESPOS (SUSE Linux Enterprise Server for SAP Applications)

12 SP2-LTSS (SUSE Linux Enterprise Server for SAP Applications)

12 SP3 (SUSE Linux Enterprise Server for SAP Applications)

12 SP4 (SUSE Linux Enterprise Server for SAP Applications)

12 SP4 (SUSE Linux Enterprise Software Development Kit)

12 SP4 (SUSE Linux Enterprise Workstation Extension)

7 (SUSE OpenStack Cloud)

15 (SUSE Linux Enterprise Module for Open Buildservice Development Tools)

12 SP4 (Suse Linux Enterprise Server)

15.0 (OpenSUSE Leap)

5 (SUSE Enterprise Storage)

15 (SUSE Linux Enterprise Module for Desktop Applications)

12 SP2-CLIENT (SUSE Linux Enterprise Point of Sale)

15 SP1 (SUSE Linux Enterprise Module for Desktop Applications)

12 SP2-BCL (Suse Linux Enterprise Server)

12 SP2-ESPOS (Suse Linux Enterprise Server)

11 SP3 (SUSE Linux Enterprise Point of Sale)

12 SP1 (SUSE Linux Enterprise Server for SAP Applications)

12 SP1-LTSS (SUSE Linux Enterprise Server for SAP Applications)

15 SP1 (SUSE Linux Enterprise Module for Open Buildservice Development Tools)

15.1 (OpenSUSE Leap)

11 SP4-LTSS (Suse Linux Enterprise Server)

12 SP1-LTSS (Suse Linux Enterprise Server)

12 SP2-LTSS (Suse Linux Enterprise Server)

11 SP4-LTSS (SUSE Linux Enterprise Server for SAP Applications)

12 SP3-LTSS (Suse Linux Enterprise Server)

8 (SUSE OpenStack Cloud)

12 SP3-BCL (Suse Linux Enterprise Server)

12 SP5 (Suse Linux Enterprise Server)

12 SP3-BCL (SUSE Linux Enterprise Server for SAP Applications)

12 SP3-LTSS (SUSE Linux Enterprise Server for SAP Applications)

12 SP5 (SUSE Linux Enterprise Software Development Kit)

8 (Debian GNU/Linux)

Crowbar 8 (SUSE OpenStack Cloud)

8 (HPE Helion Openstack)

12 SP3-ESPOS (Suse Linux Enterprise Server)

12 SP3-ESPOS (SUSE Linux Enterprise Server for SAP Applications)

12 SP5 (SUSE Linux Enterprise High Performance Computing)

12 SP5 (SUSE Linux Enterprise Workstation Extension)

8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)

3.26.0 (Evince)

до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Canonical Ltd. Ubuntu 16.04 LTS

Сообщество свободного программного обеспечения Debian GNU/Linux 9

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»

Novell Inc. OpenSUSE Leap 15.0

Novell Inc. OpenSUSE Leap 15.1

Сообщество свободного программного обеспечения Debian GNU/Linux 8

ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»

АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,3)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Для Evince:

Обновление программного средства просмотра документов Evince до актуальной версии

Для программных продуктов Novell Inc.:

https://www.suse.com/security/cve/CVE-2019-1010006/

Для Ubuntu:

https://usn.ubuntu.com/4067-1/

Для Astra Linux:

https://wiki.astralinux.ru/astra-linux-se16-bulletin-20200327SE16

https://wiki.astralinux.ru/astra-linux-se81-bulletin-20200429SE81

Для Debian GNU/Linux:

https://security-tracker.debian.org/tracker/CVE-2019-1010006

Для ОС ОН «Стрелец»:

Обновление программного обеспечения evince до версии 3.22.1-3+deb9u2

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2019-1010006
CVE

EPSS

Процентиль: 67%

0.00531

Низкий

7.8 High

CVSS3

9.3 Critical

CVSS2

Связанные уязвимости

CVE-2019-1010006

CVSS3: 7.8

ubuntu

больше 6 лет назад

Evince 3.26.0 is affected by buffer overflow. The impact is: DOS / Possible code execution. The component is: backend/tiff/tiff-document.c. The attack vector is: Victim must open a crafted PDF file. The issue occurs because of an incorrect integer overflow protection mechanism in tiff_document_render and tiff_document_get_thumbnail.

CVE-2019-1010006

CVSS3: 5.3

redhat

больше 6 лет назад

CVE-2019-1010006

CVSS3: 7.8

nvd

больше 6 лет назад

CVE-2019-1010006

CVSS3: 7.8

debian

больше 6 лет назад

Evince 3.26.0 is affected by buffer overflow. The impact is: DOS / Pos ...

openSUSE-SU-2019:1908-1

suse-cvrf

больше 6 лет назад

Security update for evince

EPSS

Процентиль: 67%

0.00531

Низкий

7.8 High

CVSS3

9.3 Critical

CVSS2