BDU:2022-06900

Опубликовано: 04 дек. 2021

Источник: fstec

CVSS3: 6.5

CVSS2: 7.1

EPSS Низкий

Описание

Уязвимость функции PCIDSK::CPCIDSKFile::ReadFromFile библиотеки-транслятора для геопространственных данных GDAL связана с записью за границами буфера. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

ООО «РусБИТех-Астра»

Сообщество свободного программного обеспечения

АО "НППКТ"

АО «Концерн ВНИИНС»

Наименование ПО

Astra Linux Special Edition

Debian GNU/Linux

Astra Linux Special Edition для «Эльбрус»

ОСОН ОСнова Оnyx

GDAL

ОС ОН «Стрелец»

Версия ПО

1.6 «Смоленск» (Astra Linux Special Edition)

10 (Debian GNU/Linux)

8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)

11 (Debian GNU/Linux)

1.7 (Astra Linux Special Edition)

4.7 (Astra Linux Special Edition)

до 2.6 (ОСОН ОСнова Оnyx)

от 3.3.0 до 3.4.0 включительно (GDAL)

до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»

Сообщество свободного программного обеспечения Debian GNU/Linux 10

ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»

Сообщество свободного программного обеспечения Debian GNU/Linux 11

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7

ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7

АО "НППКТ" ОСОН ОСнова Оnyx до 2.6

АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению уязвимости

Для GDAL:

использование рекомендаций производителя: https://github.com/google/oss-fuzz-vulns/blob/main/vulns/gdal/OSV-2021-1651.yaml

Для Debian:

использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-45943

Для ОС Astra Linux:

использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17

Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47

Для ОСОН ОСнова Оnyx:

Обновление программного обеспечения gdal до версии 2.4.0+dfsg-1+deb10u1

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:

обновить пакет gdal до 2.1.2+dfsg-5+deb9u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Для ОС ОН «Стрелец»:

Обновление программного обеспечения gdal до версии 2.1.2+dfsg-5+deb9u1

Для ОС Astra Linux 1.6 «Смоленск»:

обновить пакет gdal до 2.1.2+dfsg-5+deb9u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2021-45943
CVE

EPSS

Процентиль: 53%

0.003

Низкий

6.5 Medium

CVSS3

7.1 High

CVSS2

Связанные уязвимости

CVE-2021-45943

CVSS3: 5.5

ubuntu

около 4 лет назад

GDAL 3.3.0 through 3.4.0 has a heap-based buffer overflow in PCIDSK::CPCIDSKFile::ReadFromFile (called from PCIDSK::CPCIDSKSegment::ReadFromFile and PCIDSK::CPCIDSKBinarySegment::CPCIDSKBinarySegment).

CVE-2021-45943

CVSS3: 5.5

nvd

около 4 лет назад

CVE-2021-45943

CVSS3: 5.5

debian

около 4 лет назад

GDAL 3.3.0 through 3.4.0 has a heap-based buffer overflow in PCIDSK::C ...

GHSA-x54c-x29c-rpr5

CVSS3: 5.5

github

около 4 лет назад

EPSS

Процентиль: 53%

0.003

Низкий

6.5 Medium

CVSS3

7.1 High

CVSS2