BDU:2024-07327

Опубликовано: 16 дек. 2022

Источник: fstec

CVSS3: 7.8

CVSS2: 7.2

EPSS Низкий

Описание

Уязвимость функции put_qpel_fallback() реализации видеокодека h.265 Libde265 связана с записью за границами буфера. Эксплуатация уязвимости позволяет нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Вендор

Сообщество свободного программного обеспечения

ООО «РусБИТех-Астра»

Struktur AG

АО "НППКТ"

Наименование ПО

Debian GNU/Linux

Astra Linux Special Edition

Libde265

ОСОН ОСнова Оnyx

Версия ПО

10 (Debian GNU/Linux)

11 (Debian GNU/Linux)

12 (Debian GNU/Linux)

1.7 (Astra Linux Special Edition)

до 1.0.10 (Libde265)

до 2.8 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 10

Сообщество свободного программного обеспечения Debian GNU/Linux 11

Сообщество свободного программного обеспечения Debian GNU/Linux 12

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7

АО "НППКТ" ОСОН ОСнова Оnyx до 2.8

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,2)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)

Возможные меры по устранению уязвимости

Для Libde265:

использование рекомендаций производителя: https://github.com/strukturag/libde265/issues/367

Для Debian:

использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2022-47655

Для ОС Astra Linux:

обновить пакет libde265 до 1.0.3-1+deb10u3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD

Для ОСОН ОСнова Оnyx: Обновление программного обеспечения libde265 до версии 1.0.11-1osnova1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2022-47655
CVE

EPSS

Процентиль: 9%

0.00033

Низкий

7.8 High

CVSS3

7.2 High

CVSS2

Связанные уязвимости

CVE-2022-47655

CVSS3: 7.8

ubuntu

около 3 лет назад

Libde265 1.0.9 is vulnerable to Buffer Overflow in function void put_qpel_fallback<unsigned short>

CVE-2022-47655

CVSS3: 7.8

nvd

около 3 лет назад

Libde265 1.0.9 is vulnerable to Buffer Overflow in function void put_qpel_fallback<unsigned short>

CVE-2022-47655

CVSS3: 7.8

debian

около 3 лет назад

Libde265 1.0.9 is vulnerable to Buffer Overflow in function void put_q ...

GHSA-m9c9-fqf4-w6xr

CVSS3: 7.8

github

около 3 лет назад

Libde265 1.0.9 is vulnerable to Buffer Overflow in function void put_qpel_fallback<unsigned short>

EPSS

Процентиль: 9%

0.00033

Низкий

7.8 High

CVSS3

7.2 High

CVSS2