BDU:2024-01149

Опубликовано: 10 окт. 2022

Источник: fstec

CVSS3: 6.5

CVSS2: 7.8

EPSS Низкий

Описание

Уязвимость функции mc_luma() реализации видеокодека h.265 Libde265 связана с выходом операции за границы буфера в памяти при обработке типа данных unsigned char. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании с помощью специально созданного видеофайла

Вендор

Сообщество свободного программного обеспечения

Canonical Ltd.

ООО «Ред Софт»

ООО «РусБИТех-Астра»

Struktur AG

АО «НТЦ ИТ РОСА»

АО "НППКТ"

Наименование ПО

Debian GNU/Linux

Ubuntu

РЕД ОС

Astra Linux Special Edition

Libde265

РОСА ХРОМ

ОСОН ОСнова Оnyx

Версия ПО

10 (Debian GNU/Linux)

20.04 LTS (Ubuntu)

16.04 ESM (Ubuntu)

11 (Debian GNU/Linux)

12 (Debian GNU/Linux)

7.3 (РЕД ОС)

1.7 (Astra Linux Special Edition)

22.04 LTS (Ubuntu)

1.0.8 (Libde265)

18.04 ESM (Ubuntu)

12.4 (РОСА ХРОМ)

до 2.8 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 10

Canonical Ltd. Ubuntu 20.04 LTS

Canonical Ltd. Ubuntu 16.04 ESM

Сообщество свободного программного обеспечения Debian GNU/Linux 11

Сообщество свободного программного обеспечения Debian GNU/Linux 12

ООО «Ред Софт» РЕД ОС 7.3

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7

Canonical Ltd. Ubuntu 22.04 LTS

Canonical Ltd. Ubuntu 18.04 ESM

АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4

АО "НППКТ" ОСОН ОСнова Оnyx до 2.8

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)

Средний уровень опасности (базовая оценка CVSS 3.1 составляет 6,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Для Libde265:

https://github.com/strukturag/libde265/issues/340

https://github.com/strukturag/libde265/pull/374

Для Ubuntu:

https://ubuntu.com/security/notices/USN-6627-1

Для Debian GNU/Linux:

https://lists.debian.org/debian-lts-announce/2023/01/msg00020.html

https://www.debian.org/security/2023/dsa-5346

https://security-tracker.debian.org/tracker/CVE-2022-43242

Для ОСОН ОСнова Оnyx:

Обновление программного обеспечения libde265 до версии 1.0.11-1osnova1

Для ОС Astra Linux Special Edition 1.7:

обновить пакет libde265 до 1.0.3-1+deb10u3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2631

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2630

Для РЕД ОС:

https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-libde265-cve-2022-43243-cve-2022-43242/?sphrase_id=1074137

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2022-43242
CVE

EPSS

Процентиль: 34%

0.00134

Низкий

6.5 Medium

CVSS3

7.8 High

CVSS2

Связанные уязвимости

ROS-20250625-01

CVSS3: 6.5

redos

3 месяца назад

Множественные уязвимости libde265

CVE-2022-43242

CVSS3: 6.5

ubuntu

почти 3 года назад

Libde265 v1.0.8 was discovered to contain a heap-buffer-overflow vulnerability via mc_luma<unsigned char> in motion.cc. This vulnerability allows attackers to cause a Denial of Service (DoS) via a crafted video file.

CVE-2022-43242

CVSS3: 6.5

nvd

почти 3 года назад

CVE-2022-43242

CVSS3: 6.5

debian

почти 3 года назад

Libde265 v1.0.8 was discovered to contain a heap-buffer-overflow vulne ...

GHSA-xhff-7rmf-r9mg

CVSS3: 6.5

github

почти 3 года назад

EPSS

Процентиль: 34%

0.00134

Низкий

6.5 Medium

CVSS3

7.8 High

CVSS2