BDU:2021-01144: Уязвимость функции p_print_image() (devices/gdevcdj.c) набора программного обеспечения для обработки, преобразования и генерации документов Ghostscript, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости

Уязвимость функции p_print_image() (devices/gdevcdj.c) набора программного обеспечения для обработки, преобразования и генерации документов Ghostscript связана с записью за границами буфера. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

Canonical Ltd., Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра», Artifex Software Inc., АО «Концерн ВНИИНС»

Наименование ПО

Версия ПО

  • 16.04 LTS (Ubuntu)
  • 9 (Debian GNU/Linux)
  • 18.04 LTS (Ubuntu)
  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 8.0 (Debian GNU/Linux)
  • 10 (Debian GNU/Linux)
  • 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
  • 20.10 LTS (Ubuntu)
  • 9.50 (Ghostscript)
  • 1.0 (ОС ОН «Стрелец»)
  • до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система, Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Тип ошибки

Запись за границами буфера

Идентификатор типа ошибки

Класс уязвимости

Уязвимость кода

Дата выявления

13.08.2020

Базовый вектор уязвимости

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3)
Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 3,7)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Ghostscript:
http://git.ghostscript.com/?p=ghostpdl.git;a=commitdiff;h=af004276fd8f6c305727183c159b83021020f7d6

Для Ubuntu:
https://ubuntu.com/security/CVE-2020-16308

Для Debian:
https://security-tracker.debian.org/tracker/CVE-2020-16308

Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81


Для ОС ОН «Стрелец»:
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie

Для ОС ОН «Стрелец»:
Обновление программного обеспечения ghostscript до версии 9.26a~dfsg-0+deb9u9

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Способ эксплуатации

  • Манипулирование структурами данных

Способ устранения

Обновление программного обеспечения

Информация об устранении

Уязвимость устранена

Идентификаторы других систем описаний уязвимостей

Прочая информация

Данные уточняются
Последние изменения