Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-01700

Опубликовано: 03 фев. 2023
Источник: fstec
CVSS3: 8.8
CVSS2: 9.3
EPSS Низкий

Описание

Уязвимость функции start_read() программы обработки звука SoX связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании с помощью вредоносного файла

Вендор

Sound Exchange Project
Сообщество свободного программного обеспечения
ООО «РусБИТех-Астра»
АО "НППКТ"
АО «ИВК»

Наименование ПО

Sound eXchange
Debian GNU/Linux
Astra Linux Special Edition
ОСОН ОСнова Оnyx
АЛЬТ СП 10

Версия ПО

14.4.2 (Sound eXchange)
10 (Debian GNU/Linux)
11 (Debian GNU/Linux)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
до 2.8 (ОСОН ОСнова Оnyx)
- (АЛЬТ СП 10)

Тип ПО

Прикладное ПО информационных систем
Операционная система

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 10
Сообщество свободного программного обеспечения Debian GNU/Linux 11
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО "НППКТ" ОСОН ОСнова Оnyx до 2.8
АО «ИВК» АЛЬТ СП 10 -

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,3)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Для SoX:
использование рекомендаций производителя: https://talosintelligence.com/vulnerability_reports/TALOS-2021-1434
Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-40426
Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD
Для Astra Linux Special Edition для архитектуры ARM для 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения sox до версии 14.4.2+git20190427-2+deb11u2
Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 34%
0.00136
Низкий

8.8 High

CVSS3

9.3 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2021-40426

CVSS3: 8.8
ubuntu
почти 4 года назад

A heap-based buffer overflow vulnerability exists in the sphere.c start_read() functionality of Sound Exchange libsox 14.4.2 and master commit 42b3557e. A specially-crafted file can lead to a heap buffer overflow. An attacker can provide a malicious file to trigger this vulnerability.

redhat логотип

CVE-2021-40426

CVSS3: 8.8
redhat
почти 4 года назад

A heap-based buffer overflow vulnerability exists in the sphere.c start_read() functionality of Sound Exchange libsox 14.4.2 and master commit 42b3557e. A specially-crafted file can lead to a heap buffer overflow. An attacker can provide a malicious file to trigger this vulnerability.

nvd логотип

CVE-2021-40426

CVSS3: 8.8
nvd
почти 4 года назад

A heap-based buffer overflow vulnerability exists in the sphere.c start_read() functionality of Sound Exchange libsox 14.4.2 and master commit 42b3557e. A specially-crafted file can lead to a heap buffer overflow. An attacker can provide a malicious file to trigger this vulnerability.

debian логотип

CVE-2021-40426

CVSS3: 8.8
debian
почти 4 года назад

A heap-based buffer overflow vulnerability exists in the sphere.c star ...

github логотип

GHSA-5x4j-m9qh-g9w5

CVSS3: 8.8
github
почти 4 года назад

A heap-based buffer overflow vulnerability exists in the sphere.c start_read() functionality of Sound Exchange libsox 14.4.2 and master commit 42b3557e. A specially-crafted file can lead to a heap buffer overflow. An attacker can provide a malicious file to trigger this vulnerability.

EPSS

Процентиль: 34%
0.00136
Низкий

8.8 High

CVSS3

9.3 Critical

CVSS2