БДУ - Уязвимости

BDU:2021-01320: Уязвимость функции read_textobject из read.c утилиты для преобразования файлов с расширением .fig fig2dev, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости	Уязвимость функции read_textobject из read.c утилиты для преобразования файлов с расширением .fig fig2dev связана с выходом операции за допустимые границы буфера данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Вендор	Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра», АО «Концерн ВНИИНС»
Наименование ПО	Debian GNU/Linux, Astra Linux Common Edition (запись в едином реестре российских программ №4433), fig2dev, ОС ОН «Стрелец» (запись в едином реестре российских программ №6177)
Версия ПО	9 (Debian GNU/Linux) 8.0 (Debian GNU/Linux) 2.12 «Орёл» (Astra Linux Common Edition) 10 (Debian GNU/Linux) 3.2.7:b (fig2dev) до 16.01.2023 (ОС ОН «Стрелец»)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Сообщество свободного программного обеспечения Debian GNU/Linux 9 Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл» (запись в едином реестре российских программ №4433) Сообщество свободного программного обеспечения Debian GNU/Linux 10 АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023 (запись в едином реестре российских программ №6177)
Тип ошибки	Запись за границами буфера
Идентификатор типа ошибки	CWE-787
Класс уязвимости	Уязвимость кода
Дата выявления	04.12.2019
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:M/Au:N/C:N/I:N/A:P CVSS 3.0: AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для fig2dev: Обновление программного обеспечения до 1:3.2.7b-2 или более поздней версии Для Debian: Обновление программного обеспечения (пакета fig2dev) до 1:3.2.7a-5+deb10u2 или более поздней версии Для Astra Linux: Обновление программного обеспечения (пакета fig2dev) до 1:3.2.7a-5+deb10u2 или более поздней версии Для ОС ОН «Стрелец»: Обновление программного обеспечения fig2dev до версии 1:3.2.8b-2strelets
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Существует в открытом доступе
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://nvd.nist.gov/vuln/detail/CVE-2019-19555 https://security-tracker.debian.org/tracker/CVE-2019-19555 https://sourceforge.net/p/mcj/tickets/55/ https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2019-19555
Прочая информация	Данные уточняются

Последние изменения

27.11.2023 Уязвимость программного обеспечения Blitz Identity Provider, связанная с возможностью перенаправления URL-адреса, позволяющая нарушителю перенаправить пользователя на произвольный URL-адрес
27.11.2023 Уязвимость метода UpdateAction программного обеспечения сетевого мониторинга SolarWinds Orion, позволяющая нарушителю выполнить произвольный код с привилегиями сетевой службы (NETWORK SERVICE)
27.11.2023 Уязвимость программного обеспечения управления и конфигурирования сети Siemens SINEMA Server, позволяющая нарушителю выполнить произвольный код с привилегиями SYSTEM
27.11.2023 Уязвимость функции mremap() ядра операционных систем Linux, позволяющая нарушителю вызвать отказ в обслуживании или повысить свои привилегии
27.11.2023 Уязвимость реализации протоколов TLS и SSL VPN-клиента Cisco AnyConnect микропрограммного обеспечения межсетевых экранов Cisco Adaptive Security Appliance (ASA) и Cisco Firepower Threat Defense (FTD), позволяющая нарушителю вызвать отказ в обслуживании
27.11.2023 Уязвимость программного обеспечения для защиты от вредоносных программ Cisco Secure Endpoint Connector для Windows, связанная с ошибками синхронизации при использовании общего ресурса («Ситуация гонки»), позволяющая нарушителю вызвать отказ в обслуживании
27.11.2023 Уязвимость веб-интерфейса управления платформы управления политиками соединений Cisco Identity Services Engine (ISE), позволяющая нарушителю загрузить произвольные файлы
27.11.2023 Уязвимость средства обеспечения безопасности конечных точек Cisco Secure Client (ранее Cisco AnyConnect Secure Mobility Client), связанная с некорректной зачисткой или освобождением ресурсов, позволяющая нарушителю вызвать отказ в обслуживании
27.11.2023 Уязвимость средства обеспечения безопасности конечных точек Cisco Secure Client (ранее Cisco AnyConnect Secure Mobility Client), связанная с некорректной зачисткой или освобождением ресурсов, позволяющая нарушителю вызвать отказ в обслуживании
27.11.2023 Уязвимость режима чтения (Reader Mode) браузера Firefox for iOS, позволяющая нарушителю повысить свои привилегии

Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2021-01320: Уязвимость функции read_textobject из read.c утилиты для преобразования файлов с расширением .fig fig2dev, позволяющая нарушителю вызвать отказ в обслуживании