Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-04043

Опубликовано: 15 нояб. 2023
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость файла stb_vorbis.c библиотеки для C/C++ Libstb связана с переполнением буфера в динамической памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с помощью специально созданного файла .ogg

Вендор

Сообщество свободного программного обеспечения
ООО «РусБИТех-Астра»
Sean Barrett

Наименование ПО

Debian GNU/Linux
Astra Linux Special Edition
Astra Linux Common Edition
Libstb

Версия ПО

11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
1.6 «Смоленск» (Astra Linux Common Edition)
1.22 (Libstb)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
ООО «РусБИТех-Астра» Astra Linux Common Edition 1.6 «Смоленск»

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

компенсирующие меры :
- использование антивирусного программного обеспечения для отслеживания попыток эксплуатации уязвимости;
- использование замкнутой программной среды для работы с файлами, полученными из недоверенных источников;
- использование систем обнаружения и предотвращения вторжений для отслеживания попыток эксплуатации уязвимости.
Для ОС Astra Linux:
обновить пакет libstb до 0.0~git20241905-1astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17
Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет libstb до 0.0~git20241905-1astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47
Для ОС Astra Linux:
обновить пакет libstb до 0.0~git20241905-1astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 50%
0.00273
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2023-47212

CVSS3: 9.8
ubuntu
почти 2 года назад

A heap-based buffer overflow vulnerability exists in the comment functionality of stb _vorbis.c v1.22. A specially crafted .ogg file can lead to an out-of-bounds write. An attacker can provide a malicious file to trigger this vulnerability.

nvd логотип

CVE-2023-47212

CVSS3: 9.8
nvd
почти 2 года назад

A heap-based buffer overflow vulnerability exists in the comment functionality of stb _vorbis.c v1.22. A specially crafted .ogg file can lead to an out-of-bounds write. An attacker can provide a malicious file to trigger this vulnerability.

debian логотип

CVE-2023-47212

CVSS3: 9.8
debian
почти 2 года назад

A heap-based buffer overflow vulnerability exists in the comment funct ...

github логотип

GHSA-w3gr-x835-r39j

CVSS3: 9.8
github
почти 2 года назад

A heap-based buffer overflow vulnerability exists in the comment functionality of stb _vorbis.c v1.22. A specially crafted .ogg file can lead to an out-of-bounds write. An attacker can provide a malicious file to trigger this vulnerability.

EPSS

Процентиль: 50%
0.00273
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2