Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-06149

Опубликовано: 04 фев. 2023
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость компонента hb-ot-layout-gsubgpos.hh библиотеки преобразования текста Harfbuzz связана с неограниченным распределением ресурсов, Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

Сообщество свободного программного обеспечения
ООО «Ред Софт»
Fedora Project
АО «НТЦ ИТ РОСА»
Behdad Esfahbod
АО «ИВК»
АО "НППКТ"
Axiom JDK
Azul Systems, Inc.
ООО «Открытая мобильная платформа»

Наименование ПО

Debian GNU/Linux
РЕД ОС
Fedora
ROSA Virtualization
HarfBuzz
АЛЬТ СП 10
Альт Рабочая станция К
ОСОН ОСнова Оnyx
Axiom AxiomJDK
Zulu OpenJDK
ROSA Virtualization 3.0
ОС Аврора

Версия ПО

10 (Debian GNU/Linux)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
7.3 (РЕД ОС)
36 (Fedora)
2.1 (ROSA Virtualization)
до 6.0.0 включительно (HarfBuzz)
- (АЛЬТ СП 10)
10 (Альт Рабочая станция К)
до 2.9 (ОСОН ОСнова Оnyx)
до 11.0.19 (Axiom AxiomJDK)
до 17.0.7.0.1 (Axiom AxiomJDK)
до 17.0.8 (Axiom AxiomJDK)
до 11.66.15-CA (Zulu OpenJDK)
3.0 (ROSA Virtualization 3.0)
до 5.1.4 включительно (ОС Аврора)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 10
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «Ред Софт» РЕД ОС 7.3
Fedora Project Fedora 36
АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1
АО «ИВК» АЛЬТ СП 10 -
АО «ИВК» Альт Рабочая станция К 10
АО "НППКТ" ОСОН ОСнова Оnyx до 2.9
АО «НТЦ ИТ РОСА» ROSA Virtualization 3.0 3.0
ООО «Открытая мобильная платформа» ОС Аврора до 5.1.4 включительно

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Harfbuzz:
https://github.com/harfbuzz/harfbuzz/commit/85be877925ddbf34f74a1229f3ca1716bb6170dc
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/RSSWZZ444UVVDPHZPJ4PQEQYZ5S7GLTE/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/YZ5M2GSAIHFPLHYJXUPQ2QDJCLWXUGO3/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/KWCHWSICWVZSAXP2YAXM65JC2GR53547/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-25193
Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства
Для ОС Альт Рабочая станция К 10:
https://packages.altlinux.org/ru/vuln/CVE-2023-25193
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения openjdk-11 до версии 11.0.21+9.repack-1~deb10u1.osnova21
Для Axiom AxiomJDK:
https://axiomjdk.ru/blog/
Для Zulu OpenJDK:
https://cdn.azul.com/zulu/bin/zulu11.66.15-ca-jdk11.0.20-linux.x86_64.rpm
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2803
Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2845
Для ОС Аврора: https://cve.omp.ru/bb27514

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 16%
0.00051
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

redos логотип

ROS-20240329-19

CVSS3: 7.5
redos
больше 1 года назад

Уязвимость harfbuzz

ubuntu логотип

CVE-2023-25193

CVSS3: 7.5
ubuntu
больше 2 лет назад

hb-ot-layout-gsubgpos.hh in HarfBuzz through 6.0.0 allows attackers to trigger O(n^2) growth via consecutive marks during the process of looking back for base glyphs when attaching marks.

redhat логотип

CVE-2023-25193

CVSS3: 7.5
redhat
больше 2 лет назад

hb-ot-layout-gsubgpos.hh in HarfBuzz through 6.0.0 allows attackers to trigger O(n^2) growth via consecutive marks during the process of looking back for base glyphs when attaching marks.

nvd логотип

CVE-2023-25193

CVSS3: 7.5
nvd
больше 2 лет назад

hb-ot-layout-gsubgpos.hh in HarfBuzz through 6.0.0 allows attackers to trigger O(n^2) growth via consecutive marks during the process of looking back for base glyphs when attaching marks.

msrc логотип

CVE-2023-25193

CVSS3: 7.5
msrc
больше 2 лет назад

hb-ot-layout-gsubgpos.hh in HarfBuzz through 6.0.0 allows attackers to trigger O(n^2) growth via consecutive marks during the process of looking back for base glyphs when attaching marks.

EPSS

Процентиль: 16%
0.00051
Низкий

7.5 High

CVSS3

7.8 High

CVSS2