Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-06710

Опубликовано: 29 окт. 2022
Источник: fstec
CVSS3: 8.8
CVSS2: 10

Описание

Уязвимость функции QuickTimeVideo::userDataDecoder файла quicktimevideo.cpp библиотеки и утилиты командной строки для управления метаданными изображений Exiv2 связана с целочисленным переполнением. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить атаку отказа в обслуживании

Вендор

ООО «Ред Софт»
АО «ИВК»
Exiv2 authors
АО "НППКТ"

Наименование ПО

РЕД ОС
Альт 8 СП
Exiv2
ОСОН ОСнова Оnyx

Версия ПО

7.3 (РЕД ОС)
- (Альт 8 СП)
до 0.27.5 (Exiv2)
до 2.8 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3
АО «ИВК» Альт 8 СП -
АО "НППКТ" ОСОН ОСнова Оnyx до 2.8

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Exiv2:
https://github.com/Exiv2/exiv2/commit/bf4f28b727bdedbd7c88179c30d360e54568a62e
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения exiv2 до версии 0.25.repack-4+deb10u4.osnova1
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

8.8 High

CVSS3

10 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2022-3756

ubuntu
почти 3 года назад

Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was withdrawn by its CNA. Further investigation showed that it was not a security issue. Notes: none.

redhat логотип

CVE-2022-3756

CVSS3: 8.8
redhat
почти 3 года назад

[REJECTED CVE] A vulnerability was found in Exiv2. It has been classified as critical. Affected is the function QuickTimeVideo::userDataDecoder of the file quicktimevideo.cpp of the component QuickTime Video Handler. The manipulation leads to integer overflow. It is possible to launch the attack remotely.

nvd логотип

CVE-2022-3756

nvd
почти 3 года назад

Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was withdrawn by its CNA. Further investigation showed that it was not a security issue. Notes: none.

github логотип

GHSA-4mwp-jhj2-q2gx

CVSS3: 8.8
github
почти 3 года назад

A vulnerability was found in Exiv2. It has been classified as critical. Affected is the function QuickTimeVideo::userDataDecoder of the file quicktimevideo.cpp of the component QuickTime Video Handler. The manipulation leads to integer overflow. It is possible to launch the attack remotely. The name of the patch is bf4f28b727bdedbd7c88179c30d360e54568a62e. It is recommended to apply a patch to fix this issue. The identifier of this vulnerability is VDB-212496.

redos логотип

ROS-20221009-01

CVSS3: 9.8
redos
почти 3 года назад

Множественные уязвимости Exiv2

8.8 High

CVSS3

10 Critical

CVSS2