Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2020-03506

Опубликовано: 28 янв. 2020
Источник: fstec
CVSS3: 7.5
CVSS2: 5
EPSS Низкий

Описание

Уязвимость функции opj_t1_clbl_decode_processor (openjp2/t1.c) библиотеки для кодирования и декодирования изображений OpenJPEG связана с записью за границы буфера памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Вендор

Red Hat Inc.
Novell Inc.
Сообщество свободного программного обеспечения
Oracle Corp.
ООО «РусБИТех-Астра»
Fedora Project
АО "НППКТ"
АО «Концерн ВНИИНС»

Наименование ПО

Red Hat Enterprise Linux
Suse Linux Enterprise Server
Debian GNU/Linux
Outside In Technology
Astra Linux Special Edition
Suse Linux Enterprise Desktop
SUSE Linux Enterprise Server for SAP Applications
SUSE Linux Enterprise Module for Basesystem
SUSE Linux Enterprise High Performance Computing
SUSE Linux Enterprise SDK
Astra Linux Common Edition
Database Server
Fedora
Astra Linux Special Edition для «Эльбрус»
SUSE Business Critical Linux
OpenJPEG
ОСОН ОСнова Оnyx
ОС ОН «Стрелец»

Версия ПО

7 (Red Hat Enterprise Linux)
12 sp1 (Suse Linux Enterprise Server)
9 (Debian GNU/Linux)
8.5.4 (Outside In Technology)
1.6 «Смоленск» (Astra Linux Special Edition)
12 SP3 (Suse Linux Enterprise Desktop)
12 SP4 (Suse Linux Enterprise Desktop)
12 SP2 (SUSE Linux Enterprise Server for SAP Applications)
12 SP3 (SUSE Linux Enterprise Server for SAP Applications)
12 SP4 (SUSE Linux Enterprise Server for SAP Applications)
15 GA (SUSE Linux Enterprise Module for Basesystem)
12 SP3 (Suse Linux Enterprise Server)
12 SP4 (Suse Linux Enterprise Server)
12 (SUSE Linux Enterprise High Performance Computing)
12 GA (SUSE Linux Enterprise Server for SAP Applications)
12 GA LTSS (Suse Linux Enterprise Server)
12 SP1 LTSS (Suse Linux Enterprise Server)
12 SP2 LTSS (Suse Linux Enterprise Server)
12 SP3 (SUSE Linux Enterprise SDK)
12 SP4 (SUSE Linux Enterprise SDK)
2.12 «Орёл» (Astra Linux Common Edition)
8 (Red Hat Enterprise Linux)
15 SP1 (SUSE Linux Enterprise Module for Basesystem)
18c (Database Server)
30 (Fedora)
12 SP3-LTSS (Suse Linux Enterprise Server)
12 SP5 (Suse Linux Enterprise Server)
12 SP5 (SUSE Linux Enterprise Server for SAP Applications)
8 (Debian GNU/Linux)
31 (Fedora)
12 SP2 (Suse Linux Enterprise Desktop)
12 SP2 (Suse Linux Enterprise Server)
8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
12 SP1 (Suse Linux Enterprise Desktop)
8.0 Update Services for SAP Solutions (Red Hat Enterprise Linux)
12 SP2 (SUSE Business Critical Linux)
12 GA (Suse Linux Enterprise Desktop)
12 SP5 (SUSE Linux Enterprise SDK)
12 GA (Suse Linux Enterprise Server)
до 2.3.1 включительно (OpenJPEG)
12 GA (SUSE Linux Enterprise SDK)
12 SP1 (SUSE Linux Enterprise SDK)
12 SP2 (SUSE Linux Enterprise SDK)
12 SP2 for Raspberry PI (Suse Linux Enterprise Server)
8.5.5 (Outside In Technology)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
до 2.1 (ОСОН ОСнова Оnyx)
до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система
Прикладное ПО информационных систем
СУБД

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 7
Novell Inc. Suse Linux Enterprise Server 12 sp1
Red Hat Inc. Red Hat Enterprise Linux 7
Сообщество свободного программного обеспечения Debian GNU/Linux 9
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Novell Inc. Suse Linux Enterprise Desktop 12 SP3
Novell Inc. Suse Linux Enterprise Desktop 12 SP4
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4
Novell Inc. Suse Linux Enterprise Server 12 SP3
Novell Inc. Suse Linux Enterprise Server 12 SP4
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 GA
Novell Inc. Suse Linux Enterprise Server 12 GA LTSS
Novell Inc. Suse Linux Enterprise Server 12 SP1 LTSS
Novell Inc. Suse Linux Enterprise Server 12 SP2 LTSS
ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл»
Red Hat Inc. Red Hat Enterprise Linux 8
Fedora Project Fedora 30
Novell Inc. Suse Linux Enterprise Server 12 SP3-LTSS
Novell Inc. Suse Linux Enterprise Server 12 SP5
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5
Сообщество свободного программного обеспечения Debian GNU/Linux 8
Fedora Project Fedora 31
Novell Inc. Suse Linux Enterprise Desktop 12 SP2
Novell Inc. Suse Linux Enterprise Server 12 SP2
ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»
Novell Inc. Suse Linux Enterprise Desktop 12 SP1
Novell Inc. Suse Linux Enterprise Server 12 SP1
Red Hat Inc. Red Hat Enterprise Linux 8.0 Update Services for SAP Solutions
Novell Inc. Suse Linux Enterprise Desktop 12 GA
Novell Inc. Suse Linux Enterprise Server 12 GA
Novell Inc. Suse Linux Enterprise Server 12 SP2 for Raspberry PI
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для OpenJPEG:
https://github.com/uclouvain/openjpeg/issues/1228
Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2020/01/msg00025.html
https://lists.debian.org/debian-lts-announce/2020/07/msg00008.html
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2020-6851/
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/errata/RHSA-2020:0262
https://access.redhat.com/errata/RHSA-2020:0274
https://access.redhat.com/errata/RHSA-2020:0296
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/LACIIDDCKZJEPKTTFILSOSBQL7L3FC6V/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/XBRMI2D3XPVWKE3V52KRBW7BJVLS5LD3/
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujul2020.html
Для Astra Linux:
Обновление программного обеспечения (пакета openjpeg2) до 2.1.2-1.1+deb9u5 или более поздней версии
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47
Для ОСОН Основа:
Обновление программного обеспечения openjpeg2 до версии 2.3.0-2+deb10u2.osnova1
Для ОС ОН «Стрелец»:
Обновление программного обеспечения openjpeg2 до версии 2.3.0-2+deb10u2.osnova1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 79%
0.0122
Низкий

7.5 High

CVSS3

5 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2020-6851

CVSS3: 7.5
ubuntu
около 6 лет назад

OpenJPEG through 2.3.1 has a heap-based buffer overflow in opj_t1_clbl_decode_processor in openjp2/t1.c because of lack of opj_j2k_update_image_dimensions validation.

redhat логотип

CVE-2020-6851

CVSS3: 8.1
redhat
около 6 лет назад

OpenJPEG through 2.3.1 has a heap-based buffer overflow in opj_t1_clbl_decode_processor in openjp2/t1.c because of lack of opj_j2k_update_image_dimensions validation.

nvd логотип

CVE-2020-6851

CVSS3: 7.5
nvd
около 6 лет назад

OpenJPEG through 2.3.1 has a heap-based buffer overflow in opj_t1_clbl_decode_processor in openjp2/t1.c because of lack of opj_j2k_update_image_dimensions validation.

debian логотип

CVE-2020-6851

CVSS3: 7.5
debian
около 6 лет назад

OpenJPEG through 2.3.1 has a heap-based buffer overflow in opj_t1_clbl ...

github логотип

GHSA-6gvh-974v-q8vj

CVSS3: 7.5
github
больше 3 лет назад

OpenJPEG through 2.3.1 has a heap-based buffer overflow in opj_t1_clbl_decode_processor in libopenjp2.so.

EPSS

Процентиль: 79%
0.0122
Низкий

7.5 High

CVSS3

5 Medium

CVSS2