БДУ - Уязвимости

BDU:2021-01010: Уязвимость функций в файлах MagickCore/colorspace-private.h и MagickCore/quantum.h консольного графического редактора ImageMagick, свзанная с ошибками деления на ноль, позволяющая нарушителю вызвать состояние отказа в обслуживании

Описание уязвимости	Уязвимость функций в файлах MagickCore/colorspace-private.h и MagickCore/quantum.h консольного графического редактора ImageMagick связана с ошибками деления на ноль. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать состояние отказа в обслуживании
Вендор	Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра», Novell Inc., ImageMagick Studio LLC, АО «Концерн ВНИИНС»
Наименование ПО	Debian GNU/Linux, Astra Linux Special Edition (запись в едином реестре российских программ №369), SUSE Linux Enterprise Server for SAP Applications, Astra Linux Common Edition (запись в едином реестре российских программ №4433), OpenSUSE Leap, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), Suse Linux Enterprise Server, ImageMagick, ОС ОН «Стрелец» (запись в едином реестре российских программ №6177)
Версия ПО	9 (Debian GNU/Linux) 1.6 «Смоленск» (Astra Linux Special Edition) 12 SP3 (SUSE Linux Enterprise Server for SAP Applications) 12 SP4 (SUSE Linux Enterprise Server for SAP Applications) 8.0 (Debian GNU/Linux) 2.12 «Орёл» (Astra Linux Common Edition) 15.1 (OpenSUSE Leap) 15 (SUSE Linux Enterprise Server for SAP Applications) 15 SP1 (SUSE Linux Enterprise Server for SAP Applications) 10 (Debian GNU/Linux) 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус») 15-LTSS (Suse Linux Enterprise Server) 15.2 (OpenSUSE Leap) от 7.0.8 до 68 (ImageMagick) 15 SP1-BCL (Suse Linux Enterprise Server) 15 SP1-LTSS (Suse Linux Enterprise Server) до 6.9.10-68 (ImageMagick) от 7.0.0-0 до 7.0.8-68 (ImageMagick) 1.0 (ОС ОН «Стрелец») 1.7 (Astra Linux Special Edition) 4.7 (Astra Linux Special Edition) до 16.01.2023 (ОС ОН «Стрелец»)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Сообщество свободного программного обеспечения Debian GNU/Linux 9 ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369) Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4 Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл» (запись в едином реестре российских программ №4433) Novell Inc. OpenSUSE Leap 15.1 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP1 Сообщество свободного программного обеспечения Debian GNU/Linux 10 ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград» (запись в едином реестре российских программ №11156) Novell Inc. Suse Linux Enterprise Server 15-LTSS Novell Inc. OpenSUSE Leap 15.2 Novell Inc. Suse Linux Enterprise Server 15 SP1-BCL Novell Inc. Suse Linux Enterprise Server 15 SP1-LTSS АО «Концерн ВНИИНС» ОС ОН «Стрелец» 1.0 (запись в едином реестре российских программ №6177) ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 (запись в едином реестре российских программ №369) ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 ARM (запись в едином реестре российских программ №369) АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023 (запись в едином реестре российских программ №6177)
Тип ошибки	Деление на ноль
Идентификатор типа ошибки	CWE-369
Класс уязвимости	Уязвимость кода
Дата выявления	03.10.2019
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:M/Au:N/C:N/I:N/A:P CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)
Возможные меры по устранению уязвимости	Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2020-27750/ Для ImageMagick: использование рекомендаций производителя: https://github.com/ImageMagick/ImageMagick/issues/1711 Для ОС Debian: использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2020-27750 Для ОС Astra Linux: использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16 https://wiki.astralinux.ru/pages/viewpage.action?pageId=47416144 https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81 Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie Для ОС Astra Linux Special Edition 1.7: использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0426SE17 Для Astra Linux Special Edition 4.7 для архитектуры ARM: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0727SE47 Для ОС ОН «Стрелец»: Обновление программного обеспечения imagemagick до версии 8:6.9.7.4+dfsg-11+deb9u14
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Существует в открытом доступе
Способ эксплуатации	Манипулирование ресурсами
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://github.com/ImageMagick/ImageMagick/commit/a81ca9a1b46a96be83682af3389f0a6f3d0d389d https://github.com/ImageMagick/ImageMagick/issues/1711 https://github.com/ImageMagick/ImageMagick6/commit/c7038e710ad0204d6cb37a0229fc55f6f8a8662f https://nvd.nist.gov/vuln/detail/CVE-2020-27750 https://security-tracker.debian.org/tracker/CVE-2020-27750 https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16 https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81 https://www.suse.com/security/cve/CVE-2020-27750/ https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0426SE17 https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0727SE47 https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2020-27750
Прочая информация	Данные уточняются

Последние изменения

27.11.2023 Уязвимость программного обеспечения Blitz Identity Provider, связанная с возможностью перенаправления URL-адреса, позволяющая нарушителю перенаправить пользователя на произвольный URL-адрес
27.11.2023 Уязвимость метода UpdateAction программного обеспечения сетевого мониторинга SolarWinds Orion, позволяющая нарушителю выполнить произвольный код с привилегиями сетевой службы (NETWORK SERVICE)
27.11.2023 Уязвимость программного обеспечения управления и конфигурирования сети Siemens SINEMA Server, позволяющая нарушителю выполнить произвольный код с привилегиями SYSTEM
27.11.2023 Уязвимость функции mremap() ядра операционных систем Linux, позволяющая нарушителю вызвать отказ в обслуживании или повысить свои привилегии
27.11.2023 Уязвимость реализации протоколов TLS и SSL VPN-клиента Cisco AnyConnect микропрограммного обеспечения межсетевых экранов Cisco Adaptive Security Appliance (ASA) и Cisco Firepower Threat Defense (FTD), позволяющая нарушителю вызвать отказ в обслуживании
27.11.2023 Уязвимость программного обеспечения для защиты от вредоносных программ Cisco Secure Endpoint Connector для Windows, связанная с ошибками синхронизации при использовании общего ресурса («Ситуация гонки»), позволяющая нарушителю вызвать отказ в обслуживании
27.11.2023 Уязвимость веб-интерфейса управления платформы управления политиками соединений Cisco Identity Services Engine (ISE), позволяющая нарушителю загрузить произвольные файлы
27.11.2023 Уязвимость средства обеспечения безопасности конечных точек Cisco Secure Client (ранее Cisco AnyConnect Secure Mobility Client), связанная с некорректной зачисткой или освобождением ресурсов, позволяющая нарушителю вызвать отказ в обслуживании
27.11.2023 Уязвимость средства обеспечения безопасности конечных точек Cisco Secure Client (ранее Cisco AnyConnect Secure Mobility Client), связанная с некорректной зачисткой или освобождением ресурсов, позволяющая нарушителю вызвать отказ в обслуживании
27.11.2023 Уязвимость режима чтения (Reader Mode) браузера Firefox for iOS, позволяющая нарушителю повысить свои привилегии

Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»