Описание
Уязвимость функции SDL_LoadWAV_RW (audio/SDL_wave.c.) библиотеки Simple DirectMedia Layer связана с переполнением буфера на основе кучи. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
Вендор
Canonical Ltd.
ООО «РусБИТех-Астра»
Novell Inc.
Fedora Project
Сообщество свободного программного обеспечения
АО "НППКТ"
АО «Концерн ВНИИНС»
Наименование ПО
Ubuntu
Astra Linux Special Edition
SUSE Linux Enterprise Debuginfo
OpenSUSE Leap
Fedora
Suse Linux Enterprise Server
SUSE Linux Enterprise Software Development Kit
SDL
Astra Linux Common Edition
SUSE Linux Enterprise Point of Sale
Debian GNU/Linux
Astra Linux Special Edition для «Эльбрус»
ОСОН ОСнова Оnyx
ОС ОН «Стрелец»
Версия ПО
16.04 LTS (Ubuntu)
1.5 «Смоленск» (Astra Linux Special Edition)
11 sp4 (SUSE Linux Enterprise Debuginfo)
42.3 (OpenSUSE Leap)
18.04 LTS (Ubuntu)
28 (Fedora)
1.6 «Смоленск» (Astra Linux Special Edition)
11 SP4 (Suse Linux Enterprise Server)
11 SP4 (SUSE Linux Enterprise Software Development Kit)
29 (Fedora)
12.04 ESM (Ubuntu)
до 1.2.15 включительно (SDL)
от 2.0.0 до 2.0.9 включительно (SDL)
2.12 «Орёл» (Astra Linux Common Edition)
15.0 (OpenSUSE Leap)
11 SP3 (SUSE Linux Enterprise Point of Sale)
14.04 ESM (Ubuntu)
8 (Debian GNU/Linux)
31 (Fedora)
8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
до 2.1 (ОСОН ОСнова Оnyx)
до 2.5 (ОСОН ОСнова Оnyx)
до 16.01.2023 (ОС ОН «Стрелец»)
Тип ПО
Операционная система
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Canonical Ltd. Ubuntu 16.04 LTS
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.5 «Смоленск»
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.5 «Смоленск»
Novell Inc. OpenSUSE Leap 42.3
Canonical Ltd. Ubuntu 18.04 LTS
Fedora Project Fedora 28
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Novell Inc. Suse Linux Enterprise Server 11 SP4
Fedora Project Fedora 29
Canonical Ltd. Ubuntu 12.04 ESM
ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл»
Novell Inc. OpenSUSE Leap 15.0
Novell Inc. OpenSUSE Leap 15.0
Canonical Ltd. Ubuntu 14.04 ESM
Сообщество свободного программного обеспечения Debian GNU/Linux 8
Fedora Project Fedora 31
ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023
Уровень опасности уязвимости
Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Simple DirectMedia Layer:
Обновление библиотеки Simple DirectMedia Layer до актуальной версии
Для Astralinux:
Использование рекомендаций в Бюллетене № 20190329SE15: https://wiki.astralinux.ru/pages/viewpage.action?pageId=1212483
Использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/pages/viewpage.action?pageId=47416144
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16
Для Ubuntu:
https://usn.ubuntu.com/4156-1/
https://usn.ubuntu.com/4156-2/
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/UFYUCO6D5APPM7IOZ5WOCYVY4DKSXFKD/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/MD6EIV2CS6QNDU3UN2RVXPQOFQNHXCP7/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/7ZO47LLKKRXKMUGSRCFNHSTHG5OEBYCG/
Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2019/10/msg00021.html
https://lists.debian.org/debian-lts-announce/2019/10/msg00020.html
https://lists.debian.org/debian-lts-announce/2019/03/msg00016.html
https://lists.debian.org/debian-lts-announce/2019/03/msg00015.html
Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2019-04/msg00088.html
https://lists.opensuse.org/opensuse-security-announce/2019-04/msg00073.html
https://lists.opensuse.org/opensuse-security-announce/2019-04/msg00063.html
Для ОСОН Основа:
Обновление программного обеспечения libsdl1.2 до версии 1.2.15+dfsg2-6.osnova1
Для ОСОН Основа:
Обновление программного обеспечения libsdl2 до версии 2.0.14+dfsg2-3
Для ОС Astra Linux Special Edition 1.7:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0426SE17
Для Astra Linux Special Edition 4.7 для архитектуры ARM:
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0727SE47
Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
- обновить пакет libsdl2 до 2.0.5+dfsg1-2+deb9u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81
- обновить пакет libsdl1.2 до 1.2.15+dfsg1-4+deb9u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81
Для ОС ОН «Стрелец»:
Обновление программного обеспечения libsdl2 до версии 2.0.5+dfsg1-2+deb9u2
Обновление программного обеспечения libsdl1.2 до версии 1.2.15+dfsg2-6.osnova1
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует в открытом доступе
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 92%
0.08471
Низкий
8.8 High
CVSS3
6.8 Medium
CVSS2
Связанные уязвимости
CVSS3: 8.8
ubuntu
около 7 лет назад
SDL (Simple DirectMedia Layer) through 1.2.15 and 2.x through 2.0.9 has a buffer over-read in SDL_LoadWAV_RW in audio/SDL_wave.c.
CVSS3: 6.8
redhat
около 7 лет назад
SDL (Simple DirectMedia Layer) through 1.2.15 and 2.x through 2.0.9 has a buffer over-read in SDL_LoadWAV_RW in audio/SDL_wave.c.
CVSS3: 8.8
nvd
около 7 лет назад
SDL (Simple DirectMedia Layer) through 1.2.15 and 2.x through 2.0.9 has a buffer over-read in SDL_LoadWAV_RW in audio/SDL_wave.c.
CVSS3: 8.8
debian
около 7 лет назад
SDL (Simple DirectMedia Layer) through 1.2.15 and 2.x through 2.0.9 ha ...
CVSS3: 8.8
github
больше 3 лет назад
SDL (Simple DirectMedia Layer) through 1.2.15 and 2.x through 2.0.9 has a buffer over-read in SDL_LoadWAV_RW in audio/SDL_wave.c.
EPSS
Процентиль: 92%
0.08471
Низкий
8.8 High
CVSS3
6.8 Medium
CVSS2