Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2021-00680: Уязвимость функции g_bytes_new компонента gbytes.c библиотеки Glib, позволяющая нарушителю изменить содержимое динамической памяти

Описание уязвимости	Уязвимость функции g_bytes_new компонента gbytes.c библиотеки Glib вызвана целочисленным переполением из-за неявного приведения переменной типа gsize к типу guint. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, изменить содержимое динамической памяти при помощи специально сформированного запроса к уязвимой функции
Вендор	ООО «РусБИТех-Астра», The GNOME Project, АО "НППКТ"
Наименование ПО	Astra Linux Special Edition (запись в едином реестре российских программ №369), Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), Glib, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО	1.6 «Смоленск» (Astra Linux Special Edition) 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус») до 2.66.6 (Glib) до 2.67.3 (Glib) 1.7 (Astra Linux Special Edition) 4.7 (Astra Linux Special Edition) до 2.1 (ОСОН ОСнова Оnyx)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369) ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград» (запись в едином реестре российских программ №11156) ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 (запись в едином реестре российских программ №369) ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 (запись в едином реестре российских программ №369)
Тип ошибки	Целочисленное переполнение или циклический сдвиг, Неправильное преобразование типов числовых значений
Идентификатор типа ошибки	CWE-190 CWE-681
Класс уязвимости	Уязвимость кода
Дата выявления	14.02.2021
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:N/A:P CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости	Для Glib: Использование рекомендаций производителя: https://gitlab.gnome.org/GNOME/glib/-/issues/2319 Для Astra Linux: Использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16 https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81 https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17 https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47 Для ОСОН Основа: Обновление программного обеспечения glib2.0 до версии 2.58.3-2+deb10u3
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Существует в открытом доступе
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://github.com/GNOME/glib/blob/master/NEWS?2.67.3 https://gitlab.gnome.org/GNOME/glib/-/issues/2319 https://nvd.nist.gov/vuln/detail/CVE-2021-27219 https://security-tracker.debian.org/tracker/CVE-2021-27219 https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16 https://www.cybersecurity-help.cz/vdb/SB2021020419 https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81 https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17 https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47 https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.1/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2021-27219
Прочая информация	Данные уточняются

Последние изменения