Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2021-01037: Уязвимость функции консольного графического редактора ImageMagick, связанная с целочисленным переполнением, позволяющая нарушителю вызвать состояние отказа в обслуживании

Описание уязвимости	Уязвимость функции в MagickCore/Quantum-export.c консольного графического редактора ImageMagick связана с целочисленным переполнением. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать состояние отказа в обслуживании в результате отправки специально созданного файла
Вендор	ООО «РусБИТех-Астра», Novell Inc., ImageMagick Studio LLC, АО «Концерн ВНИИНС»
Наименование ПО	Astra Linux Special Edition (запись в едином реестре российских программ №369), SUSE Linux Enterprise Server for SAP Applications, OpenSUSE Leap, Suse Linux Enterprise Server, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), ImageMagick, ОС ОН «Стрелец» (запись в едином реестре российских программ №6177)
Версия ПО	1.6 «Смоленск» (Astra Linux Special Edition) 12 SP3 (SUSE Linux Enterprise Server for SAP Applications) 12 SP4 (SUSE Linux Enterprise Server for SAP Applications) 15.1 (OpenSUSE Leap) 15 (SUSE Linux Enterprise Server for SAP Applications) 15 SP1 (SUSE Linux Enterprise Server for SAP Applications) 12 SP5 (Suse Linux Enterprise Server) 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус») 15-LTSS (Suse Linux Enterprise Server) 15.2 (OpenSUSE Leap) от 7.0.8 до 68 (ImageMagick) 15 SP1-BCL (Suse Linux Enterprise Server) 15 SP1-LTSS (Suse Linux Enterprise Server) 1.0 (ОС ОН «Стрелец») 1.7 (Astra Linux Special Edition) 4.7 (Astra Linux Special Edition) до 16.01.2023 (ОС ОН «Стрелец»)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369) Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4 Novell Inc. OpenSUSE Leap 15.1 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP1 Novell Inc. Suse Linux Enterprise Server 12 SP5 ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград» (запись в едином реестре российских программ №11156) Novell Inc. Suse Linux Enterprise Server 15-LTSS Novell Inc. OpenSUSE Leap 15.2 Novell Inc. Suse Linux Enterprise Server 15 SP1-BCL Novell Inc. Suse Linux Enterprise Server 15 SP1-LTSS АО «Концерн ВНИИНС» ОС ОН «Стрелец» 1.0 (запись в едином реестре российских программ №6177) ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 (запись в едином реестре российских программ №369) ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 ARM (запись в едином реестре российских программ №369) АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023 (запись в едином реестре российских программ №6177)
Тип ошибки	Целочисленное переполнение или циклический сдвиг
Идентификатор типа ошибки	CWE-190
Класс уязвимости	Уязвимость кода
Дата выявления	08.12.2020
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:M/Au:N/C:N/I:N/A:P CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)
Возможные меры по устранению уязвимости	Использование рекомендаций: Обновление графического редактора ImageMagick до актуальной версии Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2020-27751/ Для Astra Linux: Использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16 Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie Для ОС Astra Linux Special Edition 1.7: использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0426SE17 Для Astra Linux Special Edition 4.7 для архитектуры ARM: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0727SE47 Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»: обновить пакет imagemagick до 8:6.9.7.4+dfsg-11+deb9u13+ci202109301604+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81 Для ОС ОН «Стрелец»: Обновление программного обеспечения imagemagick до версии 8:6.9.7.4+dfsg-11+deb9u14
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование ресурсами
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://nvd.nist.gov/vuln/detail/CVE-2020-27751 https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16 https://www.suse.com/security/cve/CVE-2020-27751/ https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0426SE17 https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0727SE47 https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81 https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2020-27751
Прочая информация	Данные уточняются

Последние изменения