Описание
Уязвимость функции DJVU::DjVuDocument::get_djvu_file() набора библиотек и утилит DjVuLibre вызвана переполнением буфера в стеке. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Вендор
Сообщество свободного программного обеспечения
Canonical Ltd.
ООО «РусБИТех-Астра»
ООО «Ред Софт»
AT&T Labs
АО "НППКТ"
АО «Концерн ВНИИНС»
Наименование ПО
Debian GNU/Linux
Ubuntu
Astra Linux Special Edition
РЕД ОС
Astra Linux Special Edition для «Эльбрус»
DjVuLibre
ОСОН ОСнова Оnyx
ОС ОН «Стрелец»
Версия ПО
9 (Debian GNU/Linux)
18.04 LTS (Ubuntu)
1.6 «Смоленск» (Astra Linux Special Edition)
7.2 Муром (РЕД ОС)
8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
20.10 (Ubuntu)
21.04 (Ubuntu)
20.10 LTS (Ubuntu)
16.04 ESM (Ubuntu)
от 3.5.1 до 3.5.27 (DjVuLibre)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
до 2.1 (ОСОН ОСнова Оnyx)
до 16.01.2023 (ОС ОН «Стрелец»)
Тип ПО
Операционная система
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Сообщество свободного программного обеспечения Debian GNU/Linux 9
Canonical Ltd. Ubuntu 18.04 LTS
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
ООО «Ред Софт» РЕД ОС 7.2 Муром
ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»
Canonical Ltd. Ubuntu 20.10
Canonical Ltd. Ubuntu 21.04
Canonical Ltd. Ubuntu 20.10 LTS
Canonical Ltd. Ubuntu 16.04 ESM
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023
Уровень опасности уязвимости
Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для DjVuLibre:
https://github.com/cloudfoundry/cflinuxfs3/releases/tag/0.238.0
Для РЕД ОС:
http://repo.red-soft.ru/redos/7.2c/x86_64/updates/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2021-3500
Для Ubuntu:
https://ubuntu.com/security/notices/USN-4957-2
https://ubuntu.com/security/notices/USN-4957-1
Для ОС Astra Linux:
использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17
Для Astra Linux Special Edition 4.7 (для архитектуры ARM):
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47
Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет djvulibre до 3.5.27.1-7+deb9u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81
Для ОС ОН «Стрелец»:
Обновление программного обеспечения djvulibre до версии 3.5.28-2osnova1
Для ОС Astra Linux Special Edition 1.7:
обновить пакет djvulibre до 3.5.27.1-10+deb10u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 52%
0.00288
Низкий
8.8 High
CVSS3
10 Critical
CVSS2
Связанные уязвимости
CVSS3: 7.8
ubuntu
больше 4 лет назад
A flaw was found in djvulibre-3.5.28 and earlier. A Stack overflow in function DJVU::DjVuDocument::get_djvu_file() via crafted djvu file may lead to application crash and other consequences.
CVSS3: 7.8
nvd
больше 4 лет назад
A flaw was found in djvulibre-3.5.28 and earlier. A Stack overflow in function DJVU::DjVuDocument::get_djvu_file() via crafted djvu file may lead to application crash and other consequences.
CVSS3: 7.8
debian
больше 4 лет назад
A flaw was found in djvulibre-3.5.28 and earlier. A Stack overflow in ...
EPSS
Процентиль: 52%
0.00288
Низкий
8.8 High
CVSS3
10 Critical
CVSS2