Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2020-02399

Опубликовано: 30 июн. 2019
Источник: fstec
CVSS3: 6.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость библиотеки для управления метаданными медиафайлов Exiv2 связана с недостаточной проверкой вводимых данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании при помощи специально созданного файла CRW

Вендор

Red Hat Inc.
Canonical Ltd.
Сообщество свободного программного обеспечения
ООО «РусБИТех-Астра»
Fedora Project
Exiv2 authors
АО "НППКТ"

Наименование ПО

Red Hat Enterprise Linux
Ubuntu
Debian GNU/Linux
Astra Linux Common Edition
Fedora
Exiv2
ОСОН ОСнова Оnyx

Версия ПО

7 (Red Hat Enterprise Linux)
16.04 LTS (Ubuntu)
9 (Debian GNU/Linux)
18.04 LTS (Ubuntu)
18.10 (Ubuntu)
8.0 (Debian GNU/Linux)
19.04 (Ubuntu)
2.12 «Орёл» (Astra Linux Common Edition)
8 (Red Hat Enterprise Linux)
30 (Fedora)
10 (Debian GNU/Linux)
до 0.27.1 включительно (Exiv2)
до 2.3 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 7
Canonical Ltd. Ubuntu 16.04 LTS
Сообщество свободного программного обеспечения Debian GNU/Linux 9
Canonical Ltd. Ubuntu 18.04 LTS
Canonical Ltd. Ubuntu 18.10
Сообщество свободного программного обеспечения Debian GNU/Linux 8.0
Canonical Ltd. Ubuntu 19.04
ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл»
Red Hat Inc. Red Hat Enterprise Linux 8
Fedora Project Fedora 30
Сообщество свободного программного обеспечения Debian GNU/Linux 10

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Exiv2:
https://github.com/Exiv2/exiv2/issues/841
https://github.com/Exiv2/exiv2/pull/842
Для Ubuntu:
https://usn.ubuntu.com/4056-1/
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/FGBT5OD2TF4AIXJUC56WOUJRHAZLZ4DC/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2019-13113
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2019-13113
Для Astra Linux:
Обновление программного обеспечения (пакета exiv2) до 0.27.3-3 или более поздней версии
Для ОСОН Основа:
Обновление программного обеспечения exiv2 до версии 0.25+repack-4+deb10u2.osnova0u2

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 48%
0.00248
Низкий

6.5 Medium

CVSS3

7.8 High

CVSS2

Связанные уязвимости

CVSS3: 6.5
ubuntu
около 6 лет назад

Exiv2 through 0.27.1 allows an attacker to cause a denial of service (crash due to assertion failure) via an invalid data location in a CRW image file.

CVSS3: 3.3
redhat
около 6 лет назад

Exiv2 through 0.27.1 allows an attacker to cause a denial of service (crash due to assertion failure) via an invalid data location in a CRW image file.

CVSS3: 6.5
nvd
около 6 лет назад

Exiv2 through 0.27.1 allows an attacker to cause a denial of service (crash due to assertion failure) via an invalid data location in a CRW image file.

CVSS3: 6.5
debian
около 6 лет назад

Exiv2 through 0.27.1 allows an attacker to cause a denial of service ( ...

CVSS3: 6.5
github
около 3 лет назад

Exiv2 through 0.27.1 allows an attacker to cause a denial of service (crash due to assertion failure) via an invalid data location in a CRW image file.

EPSS

Процентиль: 48%
0.00248
Низкий

6.5 Medium

CVSS3

7.8 High

CVSS2