Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-04689

Опубликовано: 21 сент. 2020
Источник: fstec
CVSS3: 8.1
CVSS2: 5.8
EPSS Низкий

Описание

Уязвимость функции gray_split_cubic библиотеки для воспроизведения Lottie анимаций Rlottie связана с записью за границами буфера. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, нарушить целостность данных, а также вызвать отказ в обслуживании с помощью вредоносного анимированного стикера

Вендор

Сообщество свободного программного обеспечения
Samsung Electronics

Наименование ПО

Debian GNU/Linux
Rlottie

Версия ПО

9 (Debian GNU/Linux)
8 (Debian GNU/Linux)
10 (Debian GNU/Linux)
до 7.1.0 (Rlottie)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
Сообщество свободного программного обеспечения Debian GNU/Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,1)

Возможные меры по устранению уязвимости

Для Rlottie:
использование рекомендаций производителя: https://www.shielder.it/advisories/telegram-rlottie-gray_split_cubic-stack-buffer-overflow/
Для ОС Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-31321

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 42%
0.00204
Низкий

8.1 High

CVSS3

5.8 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2021-31321

CVSS3: 7.1
ubuntu
больше 4 лет назад

Telegram Android <7.1.0 (2090), Telegram iOS <7.1, and Telegram macOS <7.1 are affected by a Stack Based Overflow in the gray_split_cubic function of their custom fork of the rlottie library. A remote attacker might be able to overwrite Telegram's stack memory out-of-bounds on a victim device via a malicious animated sticker.

nvd логотип

CVE-2021-31321

CVSS3: 7.1
nvd
больше 4 лет назад

Telegram Android <7.1.0 (2090), Telegram iOS <7.1, and Telegram macOS <7.1 are affected by a Stack Based Overflow in the gray_split_cubic function of their custom fork of the rlottie library. A remote attacker might be able to overwrite Telegram's stack memory out-of-bounds on a victim device via a malicious animated sticker.

debian логотип

CVE-2021-31321

CVSS3: 7.1
debian
больше 4 лет назад

Telegram Android <7.1.0 (2090), Telegram iOS <7.1, and Telegram macOS ...

github логотип

GHSA-hqqh-jq4c-g3w3

github
больше 3 лет назад

Telegram Android <7.1.0 (2090), Telegram iOS <7.1, and Telegram macOS <7.1 are affected by a Stack Based Overflow in the gray_split_cubic function of their custom fork of the rlottie library. A remote attacker might be able to overwrite Telegram's stack memory out-of-bounds on a victim device via a malicious animated sticker.

EPSS

Процентиль: 42%
0.00204
Низкий

8.1 High

CVSS3

5.8 Medium

CVSS2