Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-05858

Опубликовано: 22 авг. 2023
Источник: fstec
CVSS3: 6.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость библиотеки для рендеринга PDF-файлов Poppler связана с PDF-файлом, в котором структура данных xref неправильно обрабатывается при обработке getCatalog.. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании.

Вендор

ООО «Ред Софт»
ООО «РусБИТех-Астра»
Сообщество свободного программного обеспечения
АО "НППКТ"

Наименование ПО

РЕД ОС
Astra Linux Special Edition
Poppler
ОСОН ОСнова Оnyx

Версия ПО

7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
до 22.12.0 (Poppler)
до 2.9 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО "НППКТ" ОСОН ОСнова Оnyx до 2.9

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению уязвимости

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Poppler:
https://gitlab.freedesktop.org/poppler/poppler/-/commit/dcd5bd8238ea448addd102ff045badd0aca1b990
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения poppler до версии 0.71.0-5+deb10u3
Для ОС Astra Linux Special Edition 1.7 архитектуры x86-64:
обновить пакет poppler до 0.71.0-5+deb10u3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0212SE17
Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет poppler до 0.71.0-5+deb10u3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 20%
0.00064
Низкий

6.5 Medium

CVSS3

7.8 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2022-37050

CVSS3: 6.5
ubuntu
больше 2 лет назад

In Poppler 22.07.0, PDFDoc::savePageAs in PDFDoc.c callows attackers to cause a denial-of-service (application crashes with SIGABRT) by crafting a PDF file in which the xref data structure is mishandled in getCatalog processing. Note that this vulnerability is caused by the incomplete patch of CVE-2018-20662.

redhat логотип

CVE-2022-37050

CVSS3: 6.5
redhat
больше 3 лет назад

In Poppler 22.07.0, PDFDoc::savePageAs in PDFDoc.c callows attackers to cause a denial-of-service (application crashes with SIGABRT) by crafting a PDF file in which the xref data structure is mishandled in getCatalog processing. Note that this vulnerability is caused by the incomplete patch of CVE-2018-20662.

nvd логотип

CVE-2022-37050

CVSS3: 6.5
nvd
больше 2 лет назад

In Poppler 22.07.0, PDFDoc::savePageAs in PDFDoc.c callows attackers to cause a denial-of-service (application crashes with SIGABRT) by crafting a PDF file in which the xref data structure is mishandled in getCatalog processing. Note that this vulnerability is caused by the incomplete patch of CVE-2018-20662.

debian логотип

CVE-2022-37050

CVSS3: 6.5
debian
больше 2 лет назад

In Poppler 22.07.0, PDFDoc::savePageAs in PDFDoc.c callows attackers t ...

github логотип

GHSA-j6x9-fqfr-79q4

CVSS3: 6.5
github
больше 2 лет назад

In Poppler 22.07.0, PDFDoc::savePageAs in PDFDoc.c callows attackers to cause a denial-of-service (application crashes with SIGABRT) by crafting a PDF file in which the xref data structure is mishandled in getCatalog processing. Note that this vulnerability is caused by the incomplete patch of CVE-2018-20662.

EPSS

Процентиль: 20%
0.00064
Низкий

6.5 Medium

CVSS3

7.8 High

CVSS2