Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-07612

Опубликовано: 18 июл. 2019
Источник: fstec
CVSS3: 8.1
CVSS2: 9.3
EPSS Низкий

Описание

Уязвимость алгоритма сжатия данных без потерь LZ4 связана с записью за границами буфера. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Вендор

Сообщество свободного программного обеспечения
ООО «РусБИТех-Астра»
АО «ИВК»
Yann Collet

Наименование ПО

Debian GNU/Linux
Astra Linux Special Edition
Альт 8 СП
LZ4

Версия ПО

10 (Debian GNU/Linux)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
1.7 (Astra Linux Special Edition)
- (Альт 8 СП)
4.7 (Astra Linux Special Edition)
до 1.9.2 (LZ4)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 10
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
АО «ИВК» Альт 8 СП -
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,3)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,1)

Возможные меры по устранению уязвимости

Для LZ4:
использование рекомендаций производителя: https://github.com/lz4/lz4/pull/756
Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2019-17543
Для ОС Astra Linux:
обновить пакет lz4 до 1.9.3-2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17
Для Astra Linux Special Edition 4.7:
обновить пакет lz4 до 1.9.3-2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 84%
0.02292
Низкий

8.1 High

CVSS3

9.3 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2019-17543

CVSS3: 8.1
ubuntu
почти 6 лет назад

LZ4 before 1.9.2 has a heap-based buffer overflow in LZ4_write32 (related to LZ4_compress_destSize), affecting applications that call LZ4_compress_fast with a large input. (This issue can also lead to data corruption.) NOTE: the vendor states "only a few specific / uncommon usages of the API are at risk."

redhat логотип

CVE-2019-17543

CVSS3: 8.1
redhat
около 6 лет назад

LZ4 before 1.9.2 has a heap-based buffer overflow in LZ4_write32 (related to LZ4_compress_destSize), affecting applications that call LZ4_compress_fast with a large input. (This issue can also lead to data corruption.) NOTE: the vendor states "only a few specific / uncommon usages of the API are at risk."

nvd логотип

CVE-2019-17543

CVSS3: 8.1
nvd
почти 6 лет назад

LZ4 before 1.9.2 has a heap-based buffer overflow in LZ4_write32 (related to LZ4_compress_destSize), affecting applications that call LZ4_compress_fast with a large input. (This issue can also lead to data corruption.) NOTE: the vendor states "only a few specific / uncommon usages of the API are at risk."

debian логотип

CVE-2019-17543

CVSS3: 8.1
debian
почти 6 лет назад

LZ4 before 1.9.2 has a heap-based buffer overflow in LZ4_write32 (rela ...

suse-cvrf логотип

openSUSE-SU-2019:2399-1

suse-cvrf
почти 6 лет назад

Security update for lz4

EPSS

Процентиль: 84%
0.02292
Низкий

8.1 High

CVSS3

9.3 Critical

CVSS2