БДУ - Уязвимости

BDU:2021-03591: Уязвимость компонента tif_getimage.c библиотеки LibTIFF, связанная с записью за границами буфера, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Описание уязвимости	Уязвимость компонента tif_getimage.c библиотеки LibTIFF связана с ошибкой переполнения буфера, которое может потенциально привести к переполнению буфера кучи через созданный RGBA-образ, связанный с условием "Nagative-size-param". Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Вендор	ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, Silicon Graphics Corp.
Наименование ПО	Astra Linux Special Edition (запись в едином реестре российских программ №369), Debian GNU/Linux, LibTIFF, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156)
Версия ПО	1.6 «Смоленск» (Astra Linux Special Edition) 8.0 (Debian GNU/Linux) 9.0 (Debian GNU/Linux) 10.0 (Debian GNU/Linux) до 4.0.10 включительно (LibTIFF) 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус») до 4.1.0 (LibTIFF)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369) Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 Сообщество свободного программного обеспечения Debian GNU/Linux 9.0 Сообщество свободного программного обеспечения Debian GNU/Linux 10.0 Silicon Graphics Corp. LibTIFF до 4.0.10 включительно ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград» (запись в едином реестре российских программ №11156) Silicon Graphics Corp. LibTIFF до 4.1.0
Тип ошибки	Запись за границами буфера
Идентификатор типа ошибки	CWE-787
Класс уязвимости	Уязвимость кода
Дата выявления	14.10.2019
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:M/Au:N/C:P/I:P/A:P CVSS 3.0: AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)
Возможные меры по устранению уязвимости	Для LibTIFF: Использование рекомендаций производителя: https://gitlab.com/libtiff/libtiff/commit/4bb584a35f87af42d6cf09d15e9ce8909a839145 Для Debian: Использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2019-17546 Для Astra Linux: Использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16 https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://github.com/OSGeo/gdal/commit/21674033ee246f698887604c7af7ba1962a40ddf https://gitlab.com/libtiff/libtiff/commit/4bb584a35f87af42d6cf09d15e9ce8909a839145 https://nvd.nist.gov/vuln/detail/CVE-2019-17546 https://security-tracker.debian.org/tracker/CVE-2019-17546 https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16 https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16 https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2019-17546
Прочая информация	Данные уточняются

Последние изменения

27.01.2023 Уязвимость компонента InnoDB системы управления базами данных MySQL Server, позволяющая нарушителю получить несанкционированный доступ на чтение, изменение или удаление данных или вызвать отказ в обслуживании
27.01.2023 Уязвимость компонента Server: Optimizer системы управления базами данных MySQL Server, позволяющая нарушителю получить несанкционированный доступ на чтение, изменение или удаление данных или вызвать отказ в обслуживании
27.01.2023 Уязвимость компонента Security программного средства для создания отчетов Oracle BI Publisher программной платформы Oracle Fusion Middleware, позволяющая нарушителю выполнить произвольный код
27.01.2023 Уязвимость компонента Security программного средства для создания отчетов Oracle BI Publisher программной платформы Oracle Fusion Middleware, позволяющая нарушителю выполнить произвольный код
27.01.2023 Уязвимость компонента Core программного средства виртуализации Oracle VM VirtualBox, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
27.01.2023 Уязвимость компонента Core программного средства виртуализации Oracle VM VirtualBox, позволяющая нарушителю вызвать отказ в обслуживании
27.01.2023 Уязвимость компонента Visual Analyzer программной платформы Oracle Business Intelligence Enterprise Edition, позволяющая нарушителю получить несанкционированный доступ на чтение, изменение или удаление данных
27.01.2023 Уязвимость компонента Core программного средства виртуализации Oracle VM VirtualBox операционных систем Windows, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
27.01.2023 Уязвимость компонента Core сервера приложений Oracle Communications Converged Application Server, позволяющая нарушителю получить полный контроль над приложением
27.01.2023 Уязвимость подкомпонента Auomated Test Suite компонента Oracle HCM Common Architecture системы автоматизации деятельности предприятия Oracle E-Business Suite, позволяющая нарушителю манипулировать данными

Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»