Описание
Уязвимость функции bark_noise_hybridmp (psy.c) мультимедийной библиотеки libvorbis вызвана выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании
Вендор
ООО «РусБИТех-Астра»
Red Hat Inc.
Novell Inc.
Сообщество свободного программного обеспечения
АО «Концерн ВНИИНС»
Наименование ПО
Astra Linux Special Edition
Red Hat Enterprise Linux
OpenSUSE Leap
Suse Linux Enterprise Desktop
SUSE Linux Enterprise Server for SAP Applications
SUSE Linux Enterprise Software Development Kit
Debian GNU/Linux
Suse Linux Enterprise Server
SUSE Linux Enterprise Module for Basesystem
SUSE Linux Enterprise High Performance Computing
Astra Linux Special Edition для «Эльбрус»
libvorbis
ОС ОН «Стрелец»
Версия ПО
1.5 «Смоленск» (Astra Linux Special Edition)
7 (Red Hat Enterprise Linux)
42.3 (OpenSUSE Leap)
1.6 «Смоленск» (Astra Linux Special Edition)
12 SP3 (Suse Linux Enterprise Desktop)
12 SP4 (Suse Linux Enterprise Desktop)
12 SP3 (SUSE Linux Enterprise Server for SAP Applications)
12 SP3 (SUSE Linux Enterprise Software Development Kit)
12 SP4 (SUSE Linux Enterprise Software Development Kit)
8.0 (Debian GNU/Linux)
12 SP3 (Suse Linux Enterprise Server)
12 SP4 (Suse Linux Enterprise Server)
11 SP4 (Suse Linux Enterprise Server)
11 SP4 (SUSE Linux Enterprise Software Development Kit)
8 (Red Hat Enterprise Linux)
15 (SUSE Linux Enterprise Module for Basesystem)
15 SP1 (SUSE Linux Enterprise Module for Basesystem)
15.0 (OpenSUSE Leap)
11 SP4 (SUSE Linux Enterprise Server for SAP Applications)
12 SP5 (Suse Linux Enterprise Server)
12 SP5 (SUSE Linux Enterprise Software Development Kit)
12 SP5 (SUSE Linux Enterprise High Performance Computing)
8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
1.3.6 (libvorbis)
до 16.01.2023 (ОС ОН «Стрелец»)
Тип ПО
Операционная система
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.5 «Смоленск»
Red Hat Inc. Red Hat Enterprise Linux 7
Novell Inc. OpenSUSE Leap 42.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Novell Inc. Suse Linux Enterprise Desktop 12 SP3
Novell Inc. Suse Linux Enterprise Desktop 12 SP4
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3
Сообщество свободного программного обеспечения Debian GNU/Linux 8.0
Novell Inc. Suse Linux Enterprise Server 12 SP3
Novell Inc. Suse Linux Enterprise Server 12 SP4
Novell Inc. Suse Linux Enterprise Server 11 SP4
Red Hat Inc. Red Hat Enterprise Linux 8
Novell Inc. OpenSUSE Leap 15.0
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 11 SP4
Novell Inc. Suse Linux Enterprise Server 12 SP5
ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Xiph.Org libvorbis:
https://gitlab.xiph.org/xiph/vorbis/-/issues/2334
Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2019/11/msg00031.html
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2018-10393/
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2018-10393
Для Astra Linux:
https://wiki.astralinux.ru/pages/viewpage.action?pageId=1212483
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16
Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет libvorbis до 1.3.5-4+deb9u3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81
Для ОС ОН «Стрелец»:
Обновление программного обеспечения libvorbis до версии 1.3.5-4+deb9u3
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 57%
0.00351
Низкий
7.5 High
CVSS3
7.8 High
CVSS2
Связанные уязвимости
CVSS3: 7.5
ubuntu
около 7 лет назад
bark_noise_hybridmp in psy.c in Xiph.Org libvorbis 1.3.6 has a stack-based buffer over-read.
CVSS3: 7.3
redhat
около 7 лет назад
bark_noise_hybridmp in psy.c in Xiph.Org libvorbis 1.3.6 has a stack-based buffer over-read.
CVSS3: 7.5
nvd
около 7 лет назад
bark_noise_hybridmp in psy.c in Xiph.Org libvorbis 1.3.6 has a stack-based buffer over-read.
CVSS3: 7.5
debian
около 7 лет назад
bark_noise_hybridmp in psy.c in Xiph.Org libvorbis 1.3.6 has a stack-b ...
CVSS3: 7.5
github
около 3 лет назад
bark_noise_hybridmp in psy.c in Xiph.Org libvorbis 1.3.6 has a stack-based buffer over-read.
EPSS
Процентиль: 57%
0.00351
Низкий
7.5 High
CVSS3
7.8 High
CVSS2