Описание
Уязвимость функции ReadMNGImage графического редактора GraphicsMagick, связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к информации и нарушить ее доступность
Вендор
Сообщество свободного программного обеспечения
Novell Inc.
Canonical Ltd.
ООО «РусБИТех-Астра»
GraphicsMagick Group
АО «Концерн ВНИИНС»
Наименование ПО
Debian GNU/Linux
OpenSUSE Leap
Ubuntu
Astra Linux Special Edition
Suse Linux Enterprise Desktop
SUSE Enterprise Storage
SUSE Linux Enterprise Server for SAP Applications
SUSE Linux Enterprise Software Development Kit
SUSE Linux Enterprise Workstation Extension
SUSE OpenStack Cloud
SUSE Linux Enterprise Module for Open Buildservice Development Tools
Suse Linux Enterprise Server
SUSE Linux Enterprise Module for Desktop Applications
SUSE Linux Enterprise Module for Development Tools
SUSE Linux Enterprise Point of Sale
SUSE Linux Enterprise High Performance Computing
Astra Linux Special Edition для «Эльбрус»
GraphicsMagick
ОС ОН «Стрелец»
Версия ПО
9 (Debian GNU/Linux)
42.3 (OpenSUSE Leap)
18.04 LTS (Ubuntu)
1.6 «Смоленск» (Astra Linux Special Edition)
12 SP3 (Suse Linux Enterprise Desktop)
12 SP4 (Suse Linux Enterprise Desktop)
4 (SUSE Enterprise Storage)
12 SP2 (SUSE Linux Enterprise Server for SAP Applications)
12 SP2-BCL (SUSE Linux Enterprise Server for SAP Applications)
12 SP2-ESPOS (SUSE Linux Enterprise Server for SAP Applications)
12 SP2-LTSS (SUSE Linux Enterprise Server for SAP Applications)
12 SP3 (SUSE Linux Enterprise Server for SAP Applications)
12 SP4 (SUSE Linux Enterprise Server for SAP Applications)
12 SP3 (SUSE Linux Enterprise Software Development Kit)
12 SP4 (SUSE Linux Enterprise Software Development Kit)
12 SP3 (SUSE Linux Enterprise Workstation Extension)
12 SP4 (SUSE Linux Enterprise Workstation Extension)
7 (SUSE OpenStack Cloud)
15 (SUSE Linux Enterprise Module for Open Buildservice Development Tools)
12 SP3 (Suse Linux Enterprise Server)
12 SP4 (Suse Linux Enterprise Server)
15.0 (OpenSUSE Leap)
15 (SUSE Linux Enterprise Module for Desktop Applications)
15 (SUSE Linux Enterprise Module for Development Tools)
15 SP1 (SUSE Linux Enterprise Module for Development Tools)
12 SP2-CLIENT (SUSE Linux Enterprise Point of Sale)
15 SP1 (SUSE Linux Enterprise Module for Desktop Applications)
12 SP2-ESPOS (Suse Linux Enterprise Server)
12-LTSS (Suse Linux Enterprise Server)
12 SP1 (SUSE Linux Enterprise Server for SAP Applications)
12 SP1-LTSS (SUSE Linux Enterprise Server for SAP Applications)
12-LTSS (SUSE Linux Enterprise Server for SAP Applications)
12 SP1-LTSS (Suse Linux Enterprise Server)
12 SP2-LTSS (Suse Linux Enterprise Server)
12 SP5 (Suse Linux Enterprise Server)
12 SP5 (SUSE Linux Enterprise Software Development Kit)
8 (Debian GNU/Linux)
10 (Debian GNU/Linux)
12 SP5 (SUSE Linux Enterprise High Performance Computing)
12 SP5 (SUSE Linux Enterprise Workstation Extension)
8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
до 1.3.31 включительно (GraphicsMagick)
до 16.01.2023 (ОС ОН «Стрелец»)
Тип ПО
Операционная система
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Сообщество свободного программного обеспечения Debian GNU/Linux 9
Novell Inc. OpenSUSE Leap 42.3
Canonical Ltd. Ubuntu 18.04 LTS
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Novell Inc. Suse Linux Enterprise Desktop 12 SP3
Novell Inc. Suse Linux Enterprise Desktop 12 SP4
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2-BCL
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2-ESPOS
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2-LTSS
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4
Novell Inc. Suse Linux Enterprise Server 12 SP3
Novell Inc. Suse Linux Enterprise Server 12 SP4
Novell Inc. OpenSUSE Leap 15.0
Novell Inc. OpenSUSE Leap 15.0
Novell Inc. Suse Linux Enterprise Server 12 SP2-ESPOS
Novell Inc. Suse Linux Enterprise Server 12-LTSS
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP1
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP1-LTSS
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12-LTSS
Novell Inc. Suse Linux Enterprise Server 12 SP1-LTSS
Novell Inc. Suse Linux Enterprise Server 12 SP2-LTSS
Novell Inc. Suse Linux Enterprise Server 12 SP5
Сообщество свободного программного обеспечения Debian GNU/Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10
ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023
Уровень опасности уязвимости
Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,1)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для graphicsmagick:
http://hg.graphicsmagick.org/hg/GraphicsMagick/rev/86a9295e7c83
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2019-11007/
Для Ubuntu:
https://usn.ubuntu.com/4207-1/
Для Debian:
https://security-tracker.debian.org/tracker/CVE-2019-11007
Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
Для ОС ОН «Стрелец»:
Обновление программного обеспечения graphicsmagick до версии 1.4+really1.3.36+hg16481-2strelets1
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 84%
0.02187
Низкий
8.1 High
CVSS3
5.8 Medium
CVSS2
Связанные уязвимости
CVSS3: 8.1
ubuntu
почти 7 лет назад
In GraphicsMagick 1.4 snapshot-20190322 Q8, there is a heap-based buffer over-read in the ReadMNGImage function of coders/png.c, which allows attackers to cause a denial of service or information disclosure via an image colormap.
CVSS3: 8.1
nvd
почти 7 лет назад
In GraphicsMagick 1.4 snapshot-20190322 Q8, there is a heap-based buffer over-read in the ReadMNGImage function of coders/png.c, which allows attackers to cause a denial of service or information disclosure via an image colormap.
CVSS3: 8.1
debian
почти 7 лет назад
In GraphicsMagick 1.4 snapshot-20190322 Q8, there is a heap-based buff ...
CVSS3: 8.1
github
больше 3 лет назад
In GraphicsMagick 1.4 snapshot-20190322 Q8, there is a heap-based buffer over-read in the ReadMNGImage function of coders/png.c, which allows attackers to cause a denial of service or information disclosure via an image colormap.
EPSS
Процентиль: 84%
0.02187
Низкий
8.1 High
CVSS3
5.8 Medium
CVSS2