Описание
Уязвимость функции vorbis_analysis_wrote() библиотеки для чтения и записи аудиофайлов libsndfile связана связанная с чтением за пределами допустимого диапазона. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код в целевой системе
Вендор
Red Hat Inc.
Novell Inc.
Сообщество свободного программного обеспечения
ООО «Ред Софт»
АО «НТЦ ИТ РОСА»
Наименование ПО
Red Hat Enterprise Linux
openSUSE Tumbleweed
Debian GNU/Linux
РЕД ОС
ROSA Virtualization
SUSE Liberty Linux
libsndfile
ROSA Virtualization 3.0
Версия ПО
8 (Red Hat Enterprise Linux)
- (openSUSE Tumbleweed)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
7.3 (РЕД ОС)
9 (Red Hat Enterprise Linux)
2.1 (ROSA Virtualization)
9 (SUSE Liberty Linux)
8 (SUSE Liberty Linux)
9.4 Extended Update Support (Red Hat Enterprise Linux)
до 1.2.2 включительно (libsndfile)
3.0 (ROSA Virtualization 3.0)
Тип ПО
Операционная система
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Red Hat Inc. Red Hat Enterprise Linux 8
Novell Inc. openSUSE Tumbleweed -
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «Ред Софт» РЕД ОС 7.3
Red Hat Inc. Red Hat Enterprise Linux 9
АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1
Novell Inc. SUSE Liberty Linux 9
Novell Inc. SUSE Liberty Linux 8
Red Hat Inc. Red Hat Enterprise Linux 9.4 Extended Update Support
АО «НТЦ ИТ РОСА» ROSA Virtualization 3.0 3.0
Уровень опасности уязвимости
Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для libsndfile:
https://github.com/libsndfile/libsndfile/issues/1035
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-50612
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2024-50612
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2024-50612.html
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2809
Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2848
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 11%
0.0004
Низкий
5.3 Medium
CVSS3
4.6 Medium
CVSS2
Связанные уязвимости
CVSS3: 5.5
ubuntu
10 месяцев назад
libsndfile through 1.2.2 has an ogg_vorbis.c vorbis_analysis_wrote out-of-bounds read.
CVSS3: 5.5
redhat
10 месяцев назад
libsndfile through 1.2.2 has an ogg_vorbis.c vorbis_analysis_wrote out-of-bounds read.
CVSS3: 5.5
nvd
10 месяцев назад
libsndfile through 1.2.2 has an ogg_vorbis.c vorbis_analysis_wrote out-of-bounds read.
CVSS3: 5.5
debian
10 месяцев назад
libsndfile through 1.2.2 has an ogg_vorbis.c vorbis_analysis_wrote out ...
EPSS
Процентиль: 11%
0.0004
Низкий
5.3 Medium
CVSS3
4.6 Medium
CVSS2