Описание
Уязвимость компонента partition_search.h библиотеки, реализующая кодек AV1, aom операционной системы Debian GNU/Linux вызвана переполнением буфера на стеке. Эксплуатация уязвимости может позволить нарушителю , действующему удаленно, выполнить произвольный код
Вендор
ООО «РусБИТех-Астра»
Сообщество свободного программного обеспечения
AOMedia
АО "НППКТ"
Наименование ПО
Astra Linux Special Edition
Debian GNU/Linux
Astra Linux Special Edition для «Эльбрус»
libaom
ОСОН ОСнова Оnyx
Версия ПО
1.6 «Смоленск» (Astra Linux Special Edition)
10 (Debian GNU/Linux)
8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
2.0.1 (libaom)
до 2.9 (ОСОН ОСнова Оnyx)
Тип ПО
Операционная система
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Сообщество свободного программного обеспечения Debian GNU/Linux 10
ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО "НППКТ" ОСОН ОСнова Оnyx до 2.9
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,3)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для AV1 Video Codec Library:
https://aomedia.googlesource.com/aom/+/be4ee75fd762d361d0679cc892e4c74af8140093%5E%21/#F0
Для Debian GNU/Linux:
https://www.debian.org/security/2023/dsa-5490
https://security-tracker.debian.org/tracker/CVE-2020-36133
https://lists.debian.org/debian-lts-announce/2023/09/msg00003.html
Для ОС Astra Linux Special Edition 1.7:
обновить пакет aom до 1.0.0-3+deb10u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения aom до версии 1.0.0-3+deb10u1
Для Astra Linux Special Edition 4.7:
обновить пакет aom до 1.0.0-3+deb10u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47
Для Astra Linux Special Edition 1.6 «Смоленск»::
обновить пакет aom до 1.0.0-3+deb10u1+ci202406131644+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16
Для ОС Astra Linux:
обновить пакет aom до 1.0.0-3+deb10u1+ci202406131644+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20241206SE81
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует в открытом доступе
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 38%
0.00168
Низкий
8.8 High
CVSS3
9.3 Critical
CVSS2
Связанные уязвимости
CVSS3: 8.8
ubuntu
около 4 лет назад
AOM v2.0.1 was discovered to contain a global buffer overflow via the component av1/encoder/partition_search.h.
CVSS3: 8.8
nvd
около 4 лет назад
AOM v2.0.1 was discovered to contain a global buffer overflow via the component av1/encoder/partition_search.h.
CVSS3: 8.8
debian
около 4 лет назад
AOM v2.0.1 was discovered to contain a global buffer overflow via the ...
CVSS3: 8.8
github
около 4 лет назад
AOM v2.0.1 was discovered to contain a global buffer overflow via the component av1/encoder/partition_search.h.
EPSS
Процентиль: 38%
0.00168
Низкий
8.8 High
CVSS3
9.3 Critical
CVSS2