Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-06149

Опубликовано: 04 фев. 2023
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость компонента hb-ot-layout-gsubgpos.hh библиотеки преобразования текста Harfbuzz связана с неограниченным распределением ресурсов, Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

Сообщество свободного программного обеспечения
ООО «Ред Софт»
Fedora Project
АО «НТЦ ИТ РОСА»
Behdad Esfahbod
АО «ИВК»
АО "НППКТ"
Axiom JDK
Azul Systems, Inc.
ООО «Открытая мобильная платформа»
ООО «НЦПР»

Наименование ПО

Debian GNU/Linux
РЕД ОС
Fedora
ROSA Virtualization
HarfBuzz
АЛЬТ СП 10
Альт Рабочая станция К
ОСОН ОСнова Оnyx
Axiom AxiomJDK
Zulu OpenJDK
ROSA Virtualization 3.0
ОС Аврора
МСВСфера

Версия ПО

10 (Debian GNU/Linux)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
7.3 (РЕД ОС)
36 (Fedora)
2.1 (ROSA Virtualization)
до 6.0.0 включительно (HarfBuzz)
- (АЛЬТ СП 10)
10 (Альт Рабочая станция К)
до 2.9 (ОСОН ОСнова Оnyx)
до 11.0.19 (Axiom AxiomJDK)
до 17.0.7.0.1 (Axiom AxiomJDK)
до 17.0.8 (Axiom AxiomJDK)
до 11.66.15-CA (Zulu OpenJDK)
3.0 (ROSA Virtualization 3.0)
до 5.1.4 включительно (ОС Аврора)
9.5 (МСВСфера)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 10
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «Ред Софт» РЕД ОС 7.3
Fedora Project Fedora 36
АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1
АО «ИВК» АЛЬТ СП 10 -
АО «ИВК» Альт Рабочая станция К 10
АО "НППКТ" ОСОН ОСнова Оnyx до 2.9
АО «НТЦ ИТ РОСА» ROSA Virtualization 3.0 3.0
ООО «Открытая мобильная платформа» ОС Аврора до 5.1.4 включительно
ООО «НЦПР» МСВСфера 9.5

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Harfbuzz:
https://github.com/harfbuzz/harfbuzz/commit/85be877925ddbf34f74a1229f3ca1716bb6170dc
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/RSSWZZ444UVVDPHZPJ4PQEQYZ5S7GLTE/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/YZ5M2GSAIHFPLHYJXUPQ2QDJCLWXUGO3/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/KWCHWSICWVZSAXP2YAXM65JC2GR53547/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-25193
Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства
Для ОС Альт Рабочая станция К 10:
https://packages.altlinux.org/ru/vuln/CVE-2023-25193
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения openjdk-11 до версии 11.0.21+9.repack-1~deb10u1.osnova21
Для Axiom AxiomJDK:
https://axiomjdk.ru/blog/
Для Zulu OpenJDK:
https://cdn.azul.com/zulu/bin/zulu11.66.15-ca-jdk11.0.20-linux.x86_64.rpm
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2803
Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2845
Для ОС Аврора: https://cve.omp.ru/bb27514
Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2024:2410?lang=ru

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 18%
0.00059
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

redos логотип

ROS-20240329-19

CVSS3: 7.5
redos
почти 2 года назад

Уязвимость harfbuzz

ubuntu логотип

CVE-2023-25193

CVSS3: 7.5
ubuntu
около 3 лет назад

hb-ot-layout-gsubgpos.hh in HarfBuzz through 6.0.0 allows attackers to trigger O(n^2) growth via consecutive marks during the process of looking back for base glyphs when attaching marks.

redhat логотип

CVE-2023-25193

CVSS3: 7.5
redhat
около 3 лет назад

hb-ot-layout-gsubgpos.hh in HarfBuzz through 6.0.0 allows attackers to trigger O(n^2) growth via consecutive marks during the process of looking back for base glyphs when attaching marks.

nvd логотип

CVE-2023-25193

CVSS3: 7.5
nvd
около 3 лет назад

hb-ot-layout-gsubgpos.hh in HarfBuzz through 6.0.0 allows attackers to trigger O(n^2) growth via consecutive marks during the process of looking back for base glyphs when attaching marks.

msrc логотип

CVE-2023-25193

CVSS3: 7.5
msrc
почти 3 года назад

hb-ot-layout-gsubgpos.hh in HarfBuzz through 6.0.0 allows attackers to trigger O(n^2) growth via consecutive marks during the process of looking back for base glyphs when attaching marks.

EPSS

Процентиль: 18%
0.00059
Низкий

7.5 High

CVSS3

7.8 High

CVSS2