Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2020-04533: Уязвимость функции TradQT_Manager::ParseCachedBoxes утилиты «exempi», позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости	Уязвимость функции TradQT_Manager::ParseCachedBoxes (XMPFiles/source/FormatSupport/QuickTime_Support.cpp) утилиты «exempi» связана с использованием памяти после её освобождения. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании с помощью специально сформированных «.qt» данных
Вендор	Сообщество свободного программного обеспечения, ООО «Открытая мобильная платформа»
Наименование ПО	Debian GNU/Linux, exempi, ОС Аврора (запись в едином реестре российских программ №1543)
Версия ПО	7 (Debian GNU/Linux) до 2.4.4 (exempi) до 3.2.2 (ОС Аврора)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Сообщество свободного программного обеспечения Debian GNU/Linux 7 ООО «Открытая мобильная платформа» ОС Аврора до 3.2.2 INOI R7 (запись в едином реестре российских программ №1543) ООО «Открытая мобильная платформа» ОС Аврора до 3.2.2 Aquarius CMP NS220 (запись в едином реестре российских программ №1543) ООО «Открытая мобильная платформа» ОС Аврора до 3.2.2 Byterg MVK-2020 (запись в едином реестре российских программ №1543)
Тип ошибки	Использование после освобождения
Идентификатор типа ошибки	CWE-416
Класс уязвимости	Уязвимость кода
Дата выявления	14.08.2017
Базовый вектор уязвимости	CVSS 2.0: AV:L/AC:M/Au:N/C:N/I:N/A:C CVSS 3.0: AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,7) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,5)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для «exempi»: Обновление утилиты «exempi» до актуальной версии Для Debian GNU/Linux: https://lists.debian.org/debian-lts-announce/2018/03/msg00013.html Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2017-18238 Для Ubuntu: https://ubuntu.com/security/notices/USN-3668-1 Для ОС Аврора: https://cve.omprussia.ru/bb1321
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Существует
Способ эксплуатации	Манипулирование ресурсами
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-18238 https://access.redhat.com/errata/RHSA-2019:2048 https://bugs.freedesktop.org/show_bug.cgi?id=102483 https://cgit.freedesktop.org/exempi/commit/?id=886cd1d2314755adb1f4cdb99c16ff00830f0331 https://lists.debian.org/debian-lts-announce/2018/03/msg00013.html https://usn.ubuntu.com/3668-1/ https://cve.omprussia.ru/bb1321
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2017-18238
Прочая информация	Данные уточняются

Последние изменения