BDU:2021-00777: Уязвимость функции WavpackPackSamples компонента pack_utils.c аудиокодека WavPack, связанная с выходом операции за допустимые границы буфера данных, позволяющая нарушителю нарушить целостность данных, а также вызвать отказ в обслуживании

Описание уязвимости Уязвимость функции WavpackPackSamples компонента pack_utils.c аудиокодека WavPack связана с выходом операции за допустимые границы буфера данных. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, нарушить целостность данных, а также вызвать отказ в обслуживании
Вендор Сообщество свободного программного обеспечения, Canonical Ltd., ООО «РусБИТех-Астра», Red Hat Inc., Novell Inc., Fedora Project, David Bryant, АО "НППКТ"
Наименование ПО Debian GNU/Linux, Ubuntu, Astra Linux Special Edition (запись в едином реестре российских программ №369), Astra Linux Common Edition (запись в едином реестре российских программ №4433), Red Hat Enterprise Linux, OpenSUSE Leap, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), Fedora, WavPack, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО
  • 9 (Debian GNU/Linux)
  • 18.04 LTS (Ubuntu)
  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 8.0 (Debian GNU/Linux)
  • 9.0 (Debian GNU/Linux)
  • 2.12 «Орёл» (Astra Linux Common Edition)
  • 8 (Red Hat Enterprise Linux)
  • 15.1 (OpenSUSE Leap)
  • 10.0 (Debian GNU/Linux)
  • 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
  • 32 (Fedora)
  • 20.04 LTS (Ubuntu)
  • 20.10 (Ubuntu)
  • 15.2 (OpenSUSE Leap)
  • 33 (Fedora)
  • 5.3.0 (WavPack)
  • до 5.4.0 (WavPack)
  • до 2.5 (ОСОН ОСнова Оnyx)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Тип ошибки Запись за границами буфера
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 27.12.2020
Базовый вектор уязвимости
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,1)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для WavPack:
https://github.com/dbry/WavPack/issues/91

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/2YZLKYE66EU4XRHTABV5LB2G7ZDZ422F/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/PENN4ZXRPZULEJOYTTLUZMBZ5H46QTUC/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-35738

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2020-35738/

Для Ubuntu:
https://usn.ubuntu.com/usn/usn-4682-1

Для ОС Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2020-35738

Для ОС Astra Linux:
использование рекомендаций производителя:
https://wiki.astralinux.ru/pages/viewpage.action?pageId=47416144
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81

Для ОСОН Основа:
Обновление программного обеспечения wavpack до версии 5.1.0-6+deb10u1osnova1
Статус уязвимости Подтверждена производителем
Наличие эксплойта Существует в открытом доступе
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения