«ФСТЭК России»

Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»
  1. Главная
  2. Список уязвимостей
  3. BDU:2021-01282

BDU:2021-01282: Уязвимость функции color_apply_icc_profile (bin/common/color.c) библиотеки для кодирования и декодирования OpenJPEG, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Описание уязвимости Уязвимость функции color_apply_icc_profile (bin/common/color.c) библиотеки для кодирования и декодирования OpenJPEG связана с выходом операции за допустимые границы буфера данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Вендор Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра», АО «Концерн ВНИИНС»
Наименование ПО Debian GNU/Linux, Astra Linux Special Edition (запись в едином реестре российских программ №369), Astra Linux Common Edition (запись в едином реестре российских программ №4433), Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), OpenJPEG, ОС ОН «Стрелец» (запись в едином реестре российских программ №6177)
Версия ПО
  • 9 (Debian GNU/Linux)
  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 8.0 (Debian GNU/Linux)
  • 2.12 «Орёл» (Astra Linux Common Edition)
  • 10 (Debian GNU/Linux)
  • 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
  • до 2.3.1 (OpenJPEG)
  • до 16.01.2023 (ОС ОН «Стрелец»)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Тип ошибки Выход операции за границы буфера в памяти, Запись за границами буфера
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 06.09.2019
Базовый вектор уязвимости
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для OpenJPEG:
https://github.com/uclouvain/openjpeg/commit/2e5ab1d9987831c981ff05862e8ccf1381ed58ea

Для Debian:
https://security-tracker.debian.org/tracker/CVE-2018-21010

Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81

Для ОС ОН «Стрелец»:
Обновление программного обеспечения openjpeg2 до версии 2.3.0-2+deb10u2.osnova1
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения

Угрозы: 222 Уязвимости: 52436 Последнее обновление: 27.11.2023

© ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

Яндекс.Метрика