BDU:2024-01147

Опубликовано: 10 окт. 2022

Источник: fstec

CVSS3: 6.5

CVSS2: 7.8

EPSS Низкий

Описание

Уязвимость функции ff_hevc_put_weighted_pred_avg_8_sse() реализации видеокодека h.265 Libde265 связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании с помощью специально созданного видеофайла

Вендор

Сообщество свободного программного обеспечения

Canonical Ltd.

ООО «Ред Софт»

ООО «РусБИТех-Астра»

Struktur AG

АО «НТЦ ИТ РОСА»

АО "НППКТ"

Наименование ПО

Debian GNU/Linux

Ubuntu

РЕД ОС

Astra Linux Special Edition

Libde265

РОСА ХРОМ

ОСОН ОСнова Оnyx

Версия ПО

10 (Debian GNU/Linux)

20.04 LTS (Ubuntu)

16.04 ESM (Ubuntu)

11 (Debian GNU/Linux)

12 (Debian GNU/Linux)

7.3 (РЕД ОС)

1.7 (Astra Linux Special Edition)

22.04 LTS (Ubuntu)

1.0.8 (Libde265)

18.04 ESM (Ubuntu)

12.4 (РОСА ХРОМ)

до 2.8 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 10

Canonical Ltd. Ubuntu 20.04 LTS

Canonical Ltd. Ubuntu 16.04 ESM

Сообщество свободного программного обеспечения Debian GNU/Linux 11

Сообщество свободного программного обеспечения Debian GNU/Linux 12

ООО «Ред Софт» РЕД ОС 7.3

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7

Canonical Ltd. Ubuntu 22.04 LTS

Canonical Ltd. Ubuntu 18.04 ESM

АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4

АО "НППКТ" ОСОН ОСнова Оnyx до 2.8

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)

Средний уровень опасности (базовая оценка CVSS 3.1 составляет 6,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Для Libde265:

https://github.com/strukturag/libde265/issues/339

https://github.com/strukturag/libde265/pull/375

Для Ubuntu:

https://ubuntu.com/security/notices/USN-6627-1

Для Debian GNU/Linux:

https://security-tracker.debian.org/tracker/CVE-2022-43243

https://lists.debian.org/debian-lts-announce/2023/01/msg00020.html

https://www.debian.org/security/2023/dsa-5346

Для ОСОН ОСнова Оnyx:

Обновление программного обеспечения libde265 до версии 1.0.11-1osnova1

Для ОС Astra Linux Special Edition 1.7:

обновить пакет libde265 до 1.0.3-1+deb10u3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2631

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2630

Для РЕД ОС:

https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-libde265-cve-2022-43243-cve-2022-43242/?sphrase_id=1074137

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2022-43243
CVE

EPSS

Процентиль: 30%

0.00111

Низкий

6.5 Medium

CVSS3

7.8 High

CVSS2

Связанные уязвимости

ROS-20250625-01

CVSS3: 6.5

redos

3 месяца назад

Множественные уязвимости libde265

CVE-2022-43243

CVSS3: 6.5

ubuntu

почти 3 года назад

Libde265 v1.0.8 was discovered to contain a heap-buffer-overflow vulnerability via ff_hevc_put_weighted_pred_avg_8_sse in sse-motion.cc. This vulnerability allows attackers to cause a Denial of Service (DoS) via a crafted video file.

CVE-2022-43243

CVSS3: 6.5

nvd

почти 3 года назад

CVE-2022-43243

CVSS3: 6.5

debian

почти 3 года назад

Libde265 v1.0.8 was discovered to contain a heap-buffer-overflow vulne ...

GHSA-33hh-733x-w24m

CVSS3: 6.5

github

почти 3 года назад

EPSS

Процентиль: 30%

0.00111

Низкий

6.5 Medium

CVSS3

7.8 High

CVSS2