BDU:2020-03622: Уязвимость функции opj_t1_clbl_decode_processor библиотеки для кодирования и декодирования изображений OpenJPEG, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости Уязвимость функции opj_t1_clbl_decode_processor библиотеки для кодирования и декодирования изображений OpenJPEG связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Вендор Red Hat Inc., Oracle Corp., Сообщество свободного программного обеспечения
Наименование ПО Red Hat Enterprise Linux, Outside In Technology, Debian GNU/Linux, Database Server, OpenJPEG
Версия ПО
  • 7 (Red Hat Enterprise Linux)
  • 8.5.4 (Outside In Technology)
  • 8.0 (Debian GNU/Linux)
  • 9.0 (Debian GNU/Linux)
  • 8 (Red Hat Enterprise Linux)
  • 18c (Database Server)
  • 8.0 Update Services for SAP Solutions (Red Hat Enterprise Linux)
  • 8.5.5 (Outside In Technology)
  • 2.3.1 (OpenJPEG)
Тип ПО Операционная система, Прикладное ПО информационных систем, СУБД
Операционные системы и аппаратные платформы
  • Red Hat Inc. Red Hat Enterprise Linux 7
  • Сообщество свободного программного обеспечения Debian GNU/Linux 8.0
  • Сообщество свободного программного обеспечения Debian GNU/Linux 9.0
  • Red Hat Inc. Red Hat Enterprise Linux 8
  • Red Hat Inc. Red Hat Enterprise Linux 8.0 Update Services for SAP Solutions
Тип ошибки Запись за границами буфера
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 28.01.2020
Базовый вектор уязвимости
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,3)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для OpenJPEG:
https://github.com/uclouvain/openjpeg/issues/1231

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujul2020.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2020-8112

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2020/01/msg00035.html
https://lists.debian.org/debian-lts-announce/2020/07/msg00008.html
Статус уязвимости Подтверждена производителем
Наличие эксплойта Существует в открытом доступе
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения