Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2016-01694: Уязвимость пакета офисных программ LibreOffice, позволяющая нарушителю выполнить произвольный код

Описание уязвимости	Уязвимость пакета офисных программ LibreOffice связана с использованием памяти после её освобождения. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код при помощи специально созданного RTF-файла
Вендор	Canonical Ltd., Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра», The Document Foundation
Наименование ПО	Ubuntu, Debian GNU/Linux, Astra Linux, LibreOffice
Версия ПО	12.04 LTS (Ubuntu) 8 (Debian GNU/Linux) 15.10 (Ubuntu) 16.04 LTS (Ubuntu) 1.5 «Смоленск» (Astra Linux) до 5.1.3 включительно (LibreOffice) 2.12 «Орел» (Astra Linux)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Сообщество свободного программного обеспечения Linux . 64-bit Microsoft Corp. Windows . 64-bit Apple Inc. Mac OS X 64-bit Canonical Ltd. Ubuntu 12.04 LTS 32-bit Canonical Ltd. Ubuntu 12.04 LTS 64-bit Canonical Ltd. Ubuntu 12.04 LTS ARM7 Canonical Ltd. Ubuntu 12.04 LTS ARM64 Canonical Ltd. Ubuntu 12.04 LTS Power Сообщество свободного программного обеспечения Debian GNU/Linux 8 32-bit Сообщество свободного программного обеспечения Debian GNU/Linux 8 64-bit Сообщество свободного программного обеспечения Debian GNU/Linux 8 PowerPC Сообщество свободного программного обеспечения Debian GNU/Linux 8 SPARC Сообщество свободного программного обеспечения Debian GNU/Linux 8 ARM Сообщество свободного программного обеспечения Debian GNU/Linux 8 MIPS Сообщество свободного программного обеспечения Debian GNU/Linux 8 System Z Сообщество свободного программного обеспечения Linux . MIPS Сообщество свободного программного обеспечения Linux . SPARC Canonical Ltd. Ubuntu 15.10 32-bit Canonical Ltd. Ubuntu 15.10 64-bit Canonical Ltd. Ubuntu 15.10 ARM7 Canonical Ltd. Ubuntu 15.10 ARM64 Canonical Ltd. Ubuntu 15.10 Power FreeBSD Project FreeBSD . IA-32 FreeBSD Project FreeBSD . 64-bit The NetBSD Project NetBSD . MIPS The NetBSD Project NetBSD . SPARC FreeBSD Project FreeBSD . IA-64 (Itanium) FreeBSD Project FreeBSD . MIPS Сообщество свободного программного обеспечения Linux . ARMel Сообщество свободного программного обеспечения Linux . ARMhf Сообщество свободного программного обеспечения Linux . MIPSel Сообщество свободного программного обеспечения Linux . s390 Сообщество свободного программного обеспечения Linux . s390x Сообщество свободного программного обеспечения Linux . IA-32 Microsoft Corp. Windows . IA-64 (Itanium) Canonical Ltd. Ubuntu 16.04 LTS 32-bit Canonical Ltd. Ubuntu 16.04 LTS 64-bit Canonical Ltd. Ubuntu 16.04 LTS ARM7 Canonical Ltd. Ubuntu 16.04 LTS ARM64 Canonical Ltd. Ubuntu 16.04 LTS Power ООО «РусБИТех-Астра» Astra Linux 1.5 «Смоленск» Сообщество свободного программного обеспечения Linux Linux IA-64 (Itanium) ООО «РусБИТех-Астра» Astra Linux 2.12 «Орел»
Тип ошибки	Недостаточная проверка вводимых данных
Идентификатор типа ошибки	CWE-20
Класс уязвимости	Уязвимость кода
Дата выявления	08.07.2016
Базовый вектор уязвимости	AV:N/AC:M/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,3) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для LibreOffice: Обновление программного обеспечения до 5.1.4 или более поздней версии Для Debian: Обновление программного обеспечения (пакета libreoffice) до 5.1.4 или более поздней версии Для Astra Linux: https://wiki.astralinux.ru/astra-linux-se15-bulletin-20201201SE15 Или обновление программного обеспечения (пакета libreoffice) до 1:6.1.5-3+deb10u4 или более поздней версии Для Ubuntu: http://www.ubuntu.com/usn/USN-3022-1
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование ресурсами
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	http://www.ubuntu.com/usn/USN-3022-1 http://www.talosintelligence.com/reports/TALOS-2016-0126/ http://www.securitytracker.com/id/1036209 http://www.securityfocus.com/bid/91499 http://www.libreoffice.org/about-us/security/advisories/cve-2016-4324/ http://www.debian.org/security/2016/dsa-3608 https://wiki.astralinux.ru/astra-linux-se15-bulletin-20201201SE15
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2016-4324 USN: USN-3022-1 DSA: DSA-3608 Security Tracker: Security Tracker ID:1036209 BID: BID ID:91499
Прочая информация	Данные уточняются

Последние изменения