Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-03182

Опубликовано: 29 авг. 2020
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость программы для набора партитур Lilypond связана с отсутствием ограничения включения команд Postscript и SVG при работе в безопасном режиме. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код

Вендор

Сообщество свободного программного обеспечения
Fedora Project
Novell Inc.
АО «ИВК»

Наименование ПО

Debian GNU/Linux
Fedora
OpenSUSE Leap
GNU LilyPond
Альт 8 СП

Версия ПО

10 (Debian GNU/Linux)
31 (Fedora)
32 (Fedora)
15.2 (OpenSUSE Leap)
до 2.20.0 включительно (GNU LilyPond)
от 2.21.0 до 2.21.4 включительно (GNU LilyPond)
- (Альт 8 СП)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

АО «ИВК» Альт 8 СП -

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Для Lilypond:
http://git.savannah.gnu.org/gitweb/?p=lilypond.git;a=commit;h=b84ea4740f3279516905c5db05f4074e777c16ff
Для Debian GNU/Linux:
https://www.debian.org/security/2020/dsa-4756
Для программных продуктов Novell Inc.:
https://lists.opensuse.org/archives/list/security-announce@lists.opensuse.org/message/LZLU3RBT6EACHJVY3TSE3V25RFIN7ZMM/
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/QG2JUV4UTIA27JUE6IZLCEFP5PYSFPF4/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/W2JYMVLTPSNYS5F7TBHKIXUZZJIJAMRX/
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 79%
0.01263
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2020-17353

CVSS3: 9.8
ubuntu
больше 5 лет назад

scm/define-stencil-commands.scm in LilyPond through 2.20.0, and 2.21.x through 2.21.4, when -dsafe is used, lacks restrictions on embedded-ps and embedded-svg, as demonstrated by including dangerous PostScript code.

nvd логотип

CVE-2020-17353

CVSS3: 9.8
nvd
больше 5 лет назад

scm/define-stencil-commands.scm in LilyPond through 2.20.0, and 2.21.x through 2.21.4, when -dsafe is used, lacks restrictions on embedded-ps and embedded-svg, as demonstrated by including dangerous PostScript code.

debian логотип

CVE-2020-17353

CVSS3: 9.8
debian
больше 5 лет назад

scm/define-stencil-commands.scm in LilyPond through 2.20.0, and 2.21.x ...

suse-cvrf логотип

openSUSE-SU-2020:1453-1

suse-cvrf
больше 5 лет назад

Security update for lilypond

github логотип

GHSA-wg4f-3xq5-x79h

CVSS3: 9.8
github
больше 3 лет назад

scm/define-stencil-commands.scm in LilyPond through 2.20.0, and 2.21.x through 2.21.4, when -dsafe is used, lacks restrictions on embedded-ps and embedded-svg, as demonstrated by including dangerous PostScript code.

EPSS

Процентиль: 79%
0.01263
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2