Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2019-03986: Уязвимость функции fill_threshhold_buffer (base/gxht_thresh.c) набора программного обеспечения для обработки, преобразования и генерации документов Ghostscript, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании

Основная информация
Подробнее

Описание уязвимости

Уязвимость функции fill_threshhold_buffer (base/gxht_thresh.c) набора программного обеспечения для обработки, преобразования и генерации документов Ghostscript связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код или вызвать отказ в обслуживании

Вендор

Canonical Ltd., ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, Artifex Software Inc.

Наименование ПО

Ubuntu, Astra Linux, Debian GNU/Linux, Ghostscript

Версия ПО

14.04 LTS (Ubuntu)
16.04 LTS (Ubuntu)
17.10 (Ubuntu)
18.04 LTS (Ubuntu)
1.6 «Смоленск» (Astra Linux)
8.0 (Debian GNU/Linux)
9.0 (Debian GNU/Linux)
9.20 (Ghostscript)

Тип ПО

Операционная система, Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Canonical Ltd. Ubuntu 14.04 LTS
Canonical Ltd. Ubuntu 16.04 LTS
Canonical Ltd. Ubuntu 17.10
Canonical Ltd. Ubuntu 18.04 LTS
ООО «РусБИТех-Астра» Astra Linux 1.6 «Смоленск»
Сообщество свободного программного обеспечения Debian GNU/Linux 8.0
Сообщество свободного программного обеспечения Debian GNU/Linux 9.0

Тип ошибки

Выход операции за границы буфера в памяти

Идентификатор типа ошибки

CWE-119

Класс уязвимости

Уязвимость кода

Дата выявления

03.04.2017

Базовый вектор уязвимости

AV:N/AC:M/Au:N/C:P/I:P/A:P

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,6)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Astra Linux:
https://wiki.astralinux.ru/pages/viewpage.action?pageId=44892734

Для Ubuntu:
https://usn.ubuntu.com/3636-1/

Для Debian GNU/Linux:
https://www.debian.org/News/2018/20180623.ru.html
https://www.debian.org/News/2018/20180714.ru.html

Для Ghostscript:
Обновление программного обеспечения до актуальной версии

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Способ эксплуатации

Манипулирование структурами данных

Способ устранения

Обновление программного обеспечения

Информация об устранении

Уязвимость устранена

Ссылки на источники

https://wiki.astralinux.ru/pages/viewpage.action?pageId=44892734
https://usn.ubuntu.com/3636-1/
https://www.debian.org/News/2018/20180623.ru.html
https://www.debian.org/News/2018/20180714.ru.html
https://www.securityfocus.com/bid/97410/info
https://bugs.ghostscript.com/show_bug.cgi?id=697459
https://www.cvedetails.com/cve/CVE-2016-10317/?q=CVE-2016-10317

Идентификаторы других систем описаний уязвимостей

CVE: CVE-2016-10317

Прочая информация

Данные уточняются

Последние изменения