Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-00777

Опубликовано: 27 дек. 2020
Источник: fstec
CVSS3: 7.1
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость функции WavpackPackSamples компонента pack_utils.c аудиокодека WavPack связана с выходом операции за допустимые границы буфера данных. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, нарушить целостность данных, а также вызвать отказ в обслуживании

Вендор

Сообщество свободного программного обеспечения
Canonical Ltd.
ООО «РусБИТех-Астра»
Red Hat Inc.
Novell Inc.
Fedora Project
David Bryant
АО "НППКТ"
АО «НТЦ ИТ РОСА»
АО «Концерн ВНИИНС»

Наименование ПО

Debian GNU/Linux
Ubuntu
Astra Linux Special Edition
Astra Linux Common Edition
Red Hat Enterprise Linux
OpenSUSE Leap
Astra Linux Special Edition для «Эльбрус»
Fedora
WavPack
ОСОН ОСнова Оnyx
РОСА ХРОМ
ОС ОН «Стрелец»

Версия ПО

9 (Debian GNU/Linux)
18.04 LTS (Ubuntu)
1.6 «Смоленск» (Astra Linux Special Edition)
2.12 «Орёл» (Astra Linux Common Edition)
8 (Red Hat Enterprise Linux)
15.1 (OpenSUSE Leap)
8 (Debian GNU/Linux)
10 (Debian GNU/Linux)
8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
32 (Fedora)
20.04 LTS (Ubuntu)
20.10 (Ubuntu)
15.2 (OpenSUSE Leap)
33 (Fedora)
5.3.0 (WavPack)
до 5.4.0 (WavPack)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
до 2.5 (ОСОН ОСнова Оnyx)
12.4 (РОСА ХРОМ)
до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
Canonical Ltd. Ubuntu 18.04 LTS
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл»
Red Hat Inc. Red Hat Enterprise Linux 8
Novell Inc. OpenSUSE Leap 15.1
Сообщество свободного программного обеспечения Debian GNU/Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10
ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»
Fedora Project Fedora 32
Canonical Ltd. Ubuntu 20.04 LTS
Canonical Ltd. Ubuntu 20.10
Novell Inc. OpenSUSE Leap 15.2
Fedora Project Fedora 33
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для WavPack:
https://github.com/dbry/WavPack/issues/91
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/2YZLKYE66EU4XRHTABV5LB2G7ZDZ422F/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/PENN4ZXRPZULEJOYTTLUZMBZ5H46QTUC/
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-35738
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2020-35738/
Для Ubuntu:
https://usn.ubuntu.com/usn/usn-4682-1
Для ОС Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2020-35738
Для ОС Astra Linux:
использование рекомендаций производителя:
https://wiki.astralinux.ru/pages/viewpage.action?pageId=47416144
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
Для ОСОН Основа:
Обновление программного обеспечения wavpack до версии 5.1.0-6+deb10u1osnova1
Для ОС ОН «Стрелец»:
Обновление программного обеспечения wavpack до версии 5.0.0-2+deb9u3
Для ОС Astra Linux:
обновить пакет wavpack до 5.1.0-6+deb10u1+ci202401091246+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17
Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет wavpack до 5.1.0-6+deb10u1+ci202401091246+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2024-2540

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 61%
0.00408
Низкий

7.1 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2020-35738

CVSS3: 6.1
ubuntu
около 5 лет назад

WavPack 5.3.0 has an out-of-bounds write in WavpackPackSamples in pack_utils.c because of an integer overflow in a malloc argument. NOTE: some third-parties claim that there are later "unofficial" releases through 5.3.2, which are also affected.

redhat логотип

CVE-2020-35738

CVSS3: 6.1
redhat
около 5 лет назад

WavPack 5.3.0 has an out-of-bounds write in WavpackPackSamples in pack_utils.c because of an integer overflow in a malloc argument. NOTE: some third-parties claim that there are later "unofficial" releases through 5.3.2, which are also affected.

nvd логотип

CVE-2020-35738

CVSS3: 6.1
nvd
около 5 лет назад

WavPack 5.3.0 has an out-of-bounds write in WavpackPackSamples in pack_utils.c because of an integer overflow in a malloc argument. NOTE: some third-parties claim that there are later "unofficial" releases through 5.3.2, which are also affected.

debian логотип

CVE-2020-35738

CVSS3: 6.1
debian
около 5 лет назад

WavPack 5.3.0 has an out-of-bounds write in WavpackPackSamples in pack ...

suse-cvrf логотип

SUSE-SU-2021:14669-1

suse-cvrf
почти 5 лет назад

Security update for wavpack

EPSS

Процентиль: 61%
0.00408
Низкий

7.1 High

CVSS3

7.8 High

CVSS2