Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-01810

Опубликовано: 20 сент. 2021
Источник: fstec
CVSS3: 8.8
CVSS2: 9.3
EPSS Низкий

Описание

Уязвимость функции stszin компонента mp4read.c аудио декодера Freeware Advanced Audio Decoder 2 (FAAD2) связана с записью за границами буфера. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Вендор

Сообщество свободного программного обеспечения
АО «НТЦ ИТ РОСА»

Наименование ПО

Debian GNU/Linux
Freeware Advanced Audio Decoder 2
ROSA Virtualization

Версия ПО

9 (Debian GNU/Linux)
10 (Debian GNU/Linux)
11 (Debian GNU/Linux)
от 2.8.2 до 2.10.0 (Freeware Advanced Audio Decoder 2)
2.1 (ROSA Virtualization)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Сообщество свободного программного обеспечения Debian GNU/Linux 11
АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,3)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Для Freeware Advanced Audio Decoder 2 (FAAD2):
использование рекомендаций производителя: https://github.com/knik0/faad2/issues/57
Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-32272
Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2024-2417

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 51%
0.00275
Низкий

8.8 High

CVSS3

9.3 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2021-32272

CVSS3: 7.8
ubuntu
больше 4 лет назад

An issue was discovered in faad2 before 2.10.0. A heap-buffer-overflow exists in the function stszin located in mp4read.c. It allows an attacker to cause Code Execution.

nvd логотип

CVE-2021-32272

CVSS3: 7.8
nvd
больше 4 лет назад

An issue was discovered in faad2 before 2.10.0. A heap-buffer-overflow exists in the function stszin located in mp4read.c. It allows an attacker to cause Code Execution.

debian логотип

CVE-2021-32272

CVSS3: 7.8
debian
больше 4 лет назад

An issue was discovered in faad2 before 2.10.0. A heap-buffer-overflow ...

github логотип

GHSA-cqvh-8pgv-w877

CVSS3: 7.8
github
больше 3 лет назад

An issue was discovered in faad2 through 2.10.0. A heap-buffer-overflow exists in the function stszin located in mp4read.c. It allows an attacker to cause Code Execution.

EPSS

Процентиль: 51%
0.00275
Низкий

8.8 High

CVSS3

9.3 Critical

CVSS2