Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-01487

Опубликовано: 23 фев. 2023
Источник: fstec
CVSS3: 7.8
CVSS2: 7.2
EPSS Низкий

Описание

Уязвимость компилятора Emscripten библиотеки кодирования и декодирования файлов HEIF и AVIF Libheif связана с копированием буфера без проверки размера входных данных при обработке изображений strided. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании путем вызова функции memcpy()

Вендор

Сообщество свободного программного обеспечения
ООО «Ред Софт»
ООО «РусБИТех-Астра»
АО «ИВК»
Struktur AG
АО "НППКТ"

Наименование ПО

Debian GNU/Linux
РЕД ОС
Astra Linux Special Edition
Альт 8 СП
Libheif
ОСОН ОСнова Оnyx

Версия ПО

10 (Debian GNU/Linux)
11 (Debian GNU/Linux)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
- (Альт 8 СП)
4.7 (Astra Linux Special Edition)
до 1.15.1-1 (Libheif)
до 2.12 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 10
Сообщество свободного программного обеспечения Debian GNU/Linux 11
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
АО «ИВК» Альт 8 СП -
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО "НППКТ" ОСОН ОСнова Оnyx до 2.12

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,2)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Libheif:
https://github.com/golang/vulndb/issues/1594
https://github.com/strukturag/libheif/pull/759
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-0996
Для ОС Astra Linux Special Edition 1.7:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0426SE17
Для Astra Linux Special Edition 4.7 для архитектуры ARM:
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0727SE47
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Обновление программного обеспечения libheif до версии 1.11.0-1+deb11u2

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 38%
0.00161
Низкий

7.8 High

CVSS3

7.2 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2023-0996

CVSS3: 7.8
ubuntu
больше 2 лет назад

There is a vulnerability in the strided image data parsing code in the emscripten wrapper for libheif. An attacker could exploit this through a crafted image file to cause a buffer overflow in linear memory during a memcpy call.

nvd логотип

CVE-2023-0996

CVSS3: 7.8
nvd
больше 2 лет назад

There is a vulnerability in the strided image data parsing code in the emscripten wrapper for libheif. An attacker could exploit this through a crafted image file to cause a buffer overflow in linear memory during a memcpy call.

debian логотип

CVE-2023-0996

CVSS3: 7.8
debian
больше 2 лет назад

There is a vulnerability in the strided image data parsing code in the ...

suse-cvrf логотип

SUSE-SU-2023:1766-1

suse-cvrf
около 2 лет назад

Security update for libheif

redos логотип

ROS-20230322-01

CVSS3: 7.8
redos
около 2 лет назад

Уязвимость libheif

EPSS

Процентиль: 38%
0.00161
Низкий

7.8 High

CVSS3

7.2 High

CVSS2