Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-05717

Опубликовано: 15 мар. 2024
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость функции ttfLoadHDMX:ttfdump компонента texlive-bin систем компьютерной верстки TeX Live связана с переполнением буфера в «куче». Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Вендор

Canonical Ltd.
ООО «РусБИТех-Астра»
TeX Users Group

Наименование ПО

Ubuntu
Astra Linux Special Edition
Astra Linux Common Edition
texlive-bin

Версия ПО

20.04 LTS (Ubuntu)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
22.04 LTS (Ubuntu)
1.6 «Смоленск» (Astra Linux Common Edition)
23.10 (Ubuntu)
c515e (texlive-bin)
1.8 (Astra Linux Special Edition)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Canonical Ltd. Ubuntu 20.04 LTS
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
Canonical Ltd. Ubuntu 22.04 LTS
ООО «РусБИТех-Астра» Astra Linux Common Edition 1.6 «Смоленск»
Canonical Ltd. Ubuntu 23.10
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для texlive-bin:
https://github.com/NixOS/nixpkgs/pull/298721/commits/3b9901da0ed48468db1887237f0e6e267119bf3c
https://github.com/TeX-Live/texlive-source/pull/63
Для Ubuntu:
https://ubuntu.com/security/notices/USN-6695-1
Для ОС Astra Linux:
обновить пакет texlive-bin до 2022.20220321.62855-5.1+deb12u1+ci2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MD
Для ОС Astra Linux:
обновить пакет texlive-bin до 2018.20181218.49446-1+deb10u2+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17
Для ОС Astra Linux:
обновить пакет texlive-bin до 2018.20181218.49446-1+deb10u2+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47
Для ОС Astra Linux:
обновить пакет texlive-bin до 2016.20160513.41080.dfsg-2+deb9u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 36%
0.0015
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2024-25262

CVSS3: 8.1
ubuntu
почти 2 года назад

texlive-bin commit c515e was discovered to contain heap buffer overflow via the function ttfLoadHDMX:ttfdump. This vulnerability allows attackers to cause a Denial of Service (DoS) via supplying a crafted TTF file.

nvd логотип

CVE-2024-25262

CVSS3: 8.1
nvd
почти 2 года назад

texlive-bin commit c515e was discovered to contain heap buffer overflow via the function ttfLoadHDMX:ttfdump. This vulnerability allows attackers to cause a Denial of Service (DoS) via supplying a crafted TTF file.

debian логотип

CVE-2024-25262

CVSS3: 8.1
debian
почти 2 года назад

texlive-bin commit c515e was discovered to contain heap buffer overflo ...

github логотип

GHSA-79qr-9mf7-fr3g

CVSS3: 8.1
github
почти 2 года назад

texlive-bin commit c515e was discovered to contain heap buffer overflow via the function ttfLoadHDMX:ttfdump. This vulnerability allows attackers to cause a Denial of Service (DoS) via supplying a crafted TTF file.

EPSS

Процентиль: 36%
0.0015
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2