BDU:2023-08259

Опубликовано: 22 сент. 2023

Источник: fstec

CVSS3: 7.8

CVSS2: 7.2

EPSS Средний

Описание

Уязвимость парсера PSP-файлов графического редактора GIMP связана с ошибками обработки чисел. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код

Вендор

ООО «РусБИТех-Астра»

Novell Inc.

Сообщество свободного программного обеспечения

ООО «Ред Софт»

АО «ИВК»

The GIMP Team

АО "НППКТ"

Наименование ПО

Astra Linux Special Edition

Suse Linux Enterprise Desktop

SUSE Linux Enterprise Server for SAP Applications

SUSE Linux Enterprise Software Development Kit

SUSE Linux Enterprise Workstation Extension

Suse Linux Enterprise Server

Debian GNU/Linux

РЕД ОС

SUSE Linux Enterprise Module for Package Hub

АЛЬТ СП 10

GIMP

ОСОН ОСнова Оnyx

Версия ПО

1.6 «Смоленск» (Astra Linux Special Edition)

12 SP3 (Suse Linux Enterprise Desktop)

12 SP4 (Suse Linux Enterprise Desktop)

12 SP2 (SUSE Linux Enterprise Server for SAP Applications)

12 SP3 (SUSE Linux Enterprise Server for SAP Applications)

12 SP4 (SUSE Linux Enterprise Server for SAP Applications)

12 SP3 (SUSE Linux Enterprise Software Development Kit)

12 SP4 (SUSE Linux Enterprise Software Development Kit)

12 SP3 (SUSE Linux Enterprise Workstation Extension)

12 SP4 (SUSE Linux Enterprise Workstation Extension)

12 SP3 (Suse Linux Enterprise Server)

12 SP4 (Suse Linux Enterprise Server)

12 SP5 (Suse Linux Enterprise Server)

12 SP5 (SUSE Linux Enterprise Server for SAP Applications)

12 SP5 (SUSE Linux Enterprise Software Development Kit)

10 (Debian GNU/Linux)

12 SP2 (Suse Linux Enterprise Desktop)

12 SP2 (Suse Linux Enterprise Server)

12 SP2 (SUSE Linux Enterprise Software Development Kit)

12 SP2 (SUSE Linux Enterprise Workstation Extension)

15 SP2 (SUSE Linux Enterprise Workstation Extension)

11 (Debian GNU/Linux)

12 (Debian GNU/Linux)

7.3 (РЕД ОС)

1.7 (Astra Linux Special Edition)

15 SP4 (Suse Linux Enterprise Server)

15 SP2 (Suse Linux Enterprise Desktop)

15 SP4 (Suse Linux Enterprise Desktop)

15 SP4 (SUSE Linux Enterprise Server for SAP Applications)

15 SP4 (SUSE Linux Enterprise Workstation Extension)

4.7 (Astra Linux Special Edition)

15 SP4 (SUSE Linux Enterprise Module for Package Hub)

15 SP5 (SUSE Linux Enterprise Server for SAP Applications)

15 SP5 (Suse Linux Enterprise Server)

15 SP5 (Suse Linux Enterprise Desktop)

15 SP5 (SUSE Linux Enterprise Module for Package Hub)

- (АЛЬТ СП 10)

15 SP5 (SUSE Linux Enterprise Workstation Extension)

до 2.10.36 (GIMP)

до 2.9 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»

Novell Inc. Suse Linux Enterprise Desktop 12 SP3

Novell Inc. Suse Linux Enterprise Desktop 12 SP4

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4

Novell Inc. Suse Linux Enterprise Server 12 SP3

Novell Inc. Suse Linux Enterprise Server 12 SP4

Novell Inc. Suse Linux Enterprise Server 12 SP5

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5

Сообщество свободного программного обеспечения Debian GNU/Linux 10

Novell Inc. Suse Linux Enterprise Desktop 12 SP2

Novell Inc. Suse Linux Enterprise Server 12 SP2

Сообщество свободного программного обеспечения Debian GNU/Linux 11

Сообщество свободного программного обеспечения Debian GNU/Linux 12

ООО «Ред Софт» РЕД ОС 7.3

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7

Novell Inc. Suse Linux Enterprise Server 15 SP4

Novell Inc. Suse Linux Enterprise Desktop 15 SP2

Novell Inc. Suse Linux Enterprise Desktop 15 SP4

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP4

ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7

Novell Inc. SUSE Linux Enterprise Module for Package Hub 15 SP4

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP5

Novell Inc. Suse Linux Enterprise Server 15 SP5

Novell Inc. Suse Linux Enterprise Desktop 15 SP5

Novell Inc. SUSE Linux Enterprise Module for Package Hub 15 SP5

АО «ИВК» АЛЬТ СП 10 -

АО "НППКТ" ОСОН ОСнова Оnyx до 2.9

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,2)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Для GIMP:

https://www.gimp.org/news/2023/11/07/gimp-2-10-36-released/

Для Debian GNU/Linux:

https://security-tracker.debian.org/tracker/CVE-2023-44444

Для программных продуктов Novell Inc.:

https://www.suse.com/security/cve/CVE-2023-44444.html

Для ОСОН ОСнова Оnyx:

Обновление программного обеспечения gimp до версии 2.10.8-2+deb10u1

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Astra Linux:

обновить пакет gimp до 2.10.8-2+deb10u1+ci202312051712+astra4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17

Для ОС Astra Linux 1.6 «Смоленск»:

обновить пакет gimp до 2.8.18-1+deb9u1+ci202311171316+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16

Для Astra Linux Special Edition 4.7 для архитектуры ARM:

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 98%

0.50241

Средний

7.8 High

CVSS3

7.2 High

CVSS2

Связанные уязвимости

ROS-20240603-01

CVSS3: 7.8

redos

около 1 года назад

Уязвимость GIMP

CVE-2023-44444

CVSS3: 7.8

ubuntu

около 1 года назад

GIMP PSP File Parsing Off-By-One Remote Code Execution Vulnerability. This vulnerability allows remote attackers to execute arbitrary code on affected installations of GIMP. User interaction is required to exploit this vulnerability in that the target must visit a malicious page or open a malicious file. The specific flaw exists within the parsing of PSP files. Crafted data in a PSP file can trigger an off-by-one error when calculating a location to write within a heap-based buffer. An attacker can leverage this vulnerability to execute code in the context of the current process. Was ZDI-CAN-22097.

CVE-2023-44444

CVSS3: 7.8

redhat

больше 1 года назад

CVE-2023-44444

CVSS3: 7.8

nvd

около 1 года назад

CVE-2023-44444

CVSS3: 7.8

debian

около 1 года назад

GIMP PSP File Parsing Off-By-One Remote Code Execution Vulnerability. ...

EPSS

Процентиль: 98%

0.50241

Средний

7.8 High

CVSS3

7.2 High

CVSS2