Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-06640

Опубликовано: 11 авг. 2023
Источник: fstec
CVSS3: 5.5
CVSS2: 4.9
EPSS Низкий

Описание

Уязвимость функции FoFiType1C::convertToType1 библиотеки для рендеринга PDF-файлов Poppler связана с неконтролируемой рекурсией. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании

Вендор

Novell Inc.
Red Hat Inc.
Сообщество свободного программного обеспечения
ООО «РусБИТех-Астра»
АО "НППКТ"

Наименование ПО

Suse Linux Enterprise Desktop
Suse Linux Enterprise Server
Red Hat Enterprise Linux
Debian GNU/Linux
Astra Linux Special Edition
SUSE Linux Enterprise Module for additional PackageHub
SUSE Linux Enterprise Storage
Poppler
ОСОН ОСнова Оnyx

Версия ПО

12 SP3 (Suse Linux Enterprise Desktop)
12 SP4 (Suse Linux Enterprise Desktop)
12 SP3 (Suse Linux Enterprise Server)
12 SP4 (Suse Linux Enterprise Server)
8 (Red Hat Enterprise Linux)
12 SP2-BCL (Suse Linux Enterprise Server)
12-LTSS (Suse Linux Enterprise Server)
10 (Debian GNU/Linux)
12 SP2 (Suse Linux Enterprise Desktop)
12 SP2 (Suse Linux Enterprise Server)
12 SP1 (Suse Linux Enterprise Desktop)
12 SP1 (Suse Linux Enterprise Server)
12 (Suse Linux Enterprise Desktop)
15 SP1 (Suse Linux Enterprise Server)
12 (Suse Linux Enterprise Server)
1.7 (Astra Linux Special Edition)
15 SP3 (Suse Linux Enterprise Server)
15 SP3 (Suse Linux Enterprise Desktop)
15 SP2 (Suse Linux Enterprise Server)
15 SP2 (Suse Linux Enterprise Desktop)
9 (Red Hat Enterprise Linux)
15 SP1 (Suse Linux Enterprise Desktop)
15 (Suse Linux Enterprise Desktop)
15 SP4 (SUSE Linux Enterprise Module for additional PackageHub)
4.7 (Astra Linux Special Edition)
6 (SUSE Linux Enterprise Storage)
15 SP5 (SUSE Linux Enterprise Module for additional PackageHub)
20.12.1 (Poppler)
до 2.9 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Novell Inc. Suse Linux Enterprise Desktop 12 SP3
Novell Inc. Suse Linux Enterprise Desktop 12 SP4
Novell Inc. Suse Linux Enterprise Server 12 SP3
Novell Inc. Suse Linux Enterprise Server 12 SP4
Red Hat Inc. Red Hat Enterprise Linux 8
Novell Inc. Suse Linux Enterprise Server 12 SP2-BCL
Novell Inc. Suse Linux Enterprise Server 12-LTSS
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Novell Inc. Suse Linux Enterprise Desktop 12 SP2
Novell Inc. Suse Linux Enterprise Server 12 SP2
Novell Inc. Suse Linux Enterprise Desktop 12 SP1
Novell Inc. Suse Linux Enterprise Server 12 SP1
Novell Inc. Suse Linux Enterprise Desktop 12
Novell Inc. Suse Linux Enterprise Server 15 SP1
Novell Inc. Suse Linux Enterprise Server 12
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
Novell Inc. Suse Linux Enterprise Server 15 SP3
Novell Inc. Suse Linux Enterprise Desktop 15 SP3
Novell Inc. Suse Linux Enterprise Server 15 SP2
Novell Inc. Suse Linux Enterprise Desktop 15 SP2
Red Hat Inc. Red Hat Enterprise Linux 9
Novell Inc. Suse Linux Enterprise Desktop 15 SP1
Novell Inc. Suse Linux Enterprise Desktop 15
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
Novell Inc. SUSE Linux Enterprise Storage 6
АО "НППКТ" ОСОН ОСнова Оnyx до 2.9

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,9)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Poppler:
https://gitlab.freedesktop.org/poppler/poppler/-/issues/936
Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2023/08/msg00017.html
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2020-36024.html
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-36024
Для ОС Astra Linux Special Edition 1.7:
обновить пакет poppler до 0.71.0-5+deb10u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения poppler до версии 0.71.0-5+deb10u3
Для Astra Linux Special Edition 4.7:
обновить пакет poppler до 0.71.0-5+deb10u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 37%
0.00156
Низкий

5.5 Medium

CVSS3

4.9 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2020-36024

CVSS3: 5.5
ubuntu
около 2 лет назад

An issue was discovered in freedesktop poppler version 20.12.1, allows remote attackers to cause a denial of service (DoS) via crafted .pdf file to FoFiType1C::convertToType1 function.

redhat логотип

CVE-2020-36024

CVSS3: 5.5
redhat
около 2 лет назад

An issue was discovered in freedesktop poppler version 20.12.1, allows remote attackers to cause a denial of service (DoS) via crafted .pdf file to FoFiType1C::convertToType1 function.

nvd логотип

CVE-2020-36024

CVSS3: 5.5
nvd
около 2 лет назад

An issue was discovered in freedesktop poppler version 20.12.1, allows remote attackers to cause a denial of service (DoS) via crafted .pdf file to FoFiType1C::convertToType1 function.

debian логотип

CVE-2020-36024

CVSS3: 5.5
debian
около 2 лет назад

An issue was discovered in freedesktop poppler version 20.12.1, allows ...

rocky логотип

RLSA-2024:2979

rocky
3 месяца назад

Moderate: poppler security update

EPSS

Процентиль: 37%
0.00156
Низкий

5.5 Medium

CVSS3

4.9 Medium

CVSS2