Описание
Уязвимость функции calc_arrow (bound.c) утилиты для преобразования файлов с расширением .fig fig2dev связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании с помощью специально созданного файла формата .fig
Вендор
Red Hat Inc.
Novell Inc.
Сообщество свободного программного обеспечения
АО «Концерн ВНИИНС»
Наименование ПО
Red Hat Enterprise Linux
Suse Linux Enterprise Desktop
SUSE Linux Enterprise Server for SAP Applications
Suse Linux Enterprise Server
Debian GNU/Linux
fig2dev
ОС ОН «Стрелец»
Версия ПО
7 (Red Hat Enterprise Linux)
12 SP3 (Suse Linux Enterprise Desktop)
12 SP2 (SUSE Linux Enterprise Server for SAP Applications)
12 SP3 (SUSE Linux Enterprise Server for SAP Applications)
12 SP4 (SUSE Linux Enterprise Server for SAP Applications)
12 SP3 (Suse Linux Enterprise Server)
12 SP4 (Suse Linux Enterprise Server)
11 SP3 (SUSE Linux Enterprise Server for SAP Applications)
12 GA (SUSE Linux Enterprise Server for SAP Applications)
11 SP3 LTSS (Suse Linux Enterprise Server)
12 GA LTSS (Suse Linux Enterprise Server)
12 SP1 LTSS (Suse Linux Enterprise Server)
12 SP2 LTSS (Suse Linux Enterprise Server)
8 (Red Hat Enterprise Linux)
11 SP4-LTSS (Suse Linux Enterprise Server)
12 SP5 (Suse Linux Enterprise Server)
12 SP5 (SUSE Linux Enterprise Server for SAP Applications)
8 (Debian GNU/Linux)
до 3.2.7b (fig2dev)
12 GA (Suse Linux Enterprise Server)
до 16.01.2023 (ОС ОН «Стрелец»)
Тип ПО
Операционная система
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Red Hat Inc. Red Hat Enterprise Linux 7
Red Hat Inc. Red Hat Enterprise Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 8
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023
Уровень опасности уязвимости
Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,9)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,5)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для fig2dev:
https://sourceforge.net/p/mcj/tickets/52/
Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2020/01/msg00018.html
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2019-14275/
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2019-14275
Для ОС ОН «Стрелец»:
Обновление программного обеспечения fig2dev до версии 1:3.2.8b-2strelets
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует в открытом доступе
Информация об устранении
Уязвимость устранена
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 31%
0.00119
Низкий
5.5 Medium
CVSS3
4.9 Medium
CVSS2
Связанные уязвимости
CVSS3: 5.5
ubuntu
больше 6 лет назад
Xfig fig2dev 3.2.7a has a stack-based buffer overflow in the calc_arrow function in bound.c.
CVSS3: 6.6
redhat
больше 6 лет назад
Xfig fig2dev 3.2.7a has a stack-based buffer overflow in the calc_arrow function in bound.c.
CVSS3: 5.5
nvd
больше 6 лет назад
Xfig fig2dev 3.2.7a has a stack-based buffer overflow in the calc_arrow function in bound.c.
CVSS3: 5.5
debian
больше 6 лет назад
Xfig fig2dev 3.2.7a has a stack-based buffer overflow in the calc_arro ...
EPSS
Процентиль: 31%
0.00119
Низкий
5.5 Medium
CVSS3
4.9 Medium
CVSS2