BDU:2021-03899: Уязвимость функции msadpcm_decode_block библиотеки libsndfile, вызванная переполнением буфера, позволяющая нарушителю выполнить произвольный код

Описание уязвимости Уязвимость функции msadpcm_decode_block библиотеки libsndfile вызвана переполнением буфера. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код при помощи специально созданного файла WAV
Вендор Red Hat Inc., ООО «РусБИТех-Астра», Novell Inc., Сообщество свободного программного обеспечения, ООО «Открытая мобильная платформа»
Наименование ПО Red Hat Enterprise Linux, Astra Linux Special Edition (запись в едином реестре российских программ №369), Suse Linux Enterprise Server, libsndfile, ОС Аврора (запись в едином реестре российских программ №1543)
Версия ПО
  • 7 (Red Hat Enterprise Linux)
  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 8 (Red Hat Enterprise Linux)
  • 12 SP2-BCL (Suse Linux Enterprise Server)
  • 12 SP3-LTSS (Suse Linux Enterprise Server)
  • 12 SP3-BCL (Suse Linux Enterprise Server)
  • 12 SP5 (Suse Linux Enterprise Server)
  • 15-LTSS (Suse Linux Enterprise Server)
  • 12 SP4 LTSS (Suse Linux Enterprise Server)
  • 12 SP4-ESPOS (Suse Linux Enterprise Server)
  • 15 SP1-BCL (Suse Linux Enterprise Server)
  • 15 SP1-LTSS (Suse Linux Enterprise Server)
  • 1.0.30 (libsndfile)
  • 1.7 (Astra Linux Special Edition)
  • 4.7 (Astra Linux Special Edition)
  • до 4.0.2.172 (ОС Аврора)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Тип ошибки Выход операции за границы буфера в памяти
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 15.01.2021
Базовый вектор уязвимости
Уровень опасности уязвимости Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)
Возможные меры по устранению уязвимости
Обновление библиотеки libsndfile до актуальной версии

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2021-3246

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2021-3246.html

Для ОС Astra Linux:
использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47

Для ОС Аврора 3.2.1: https://cve.omprussia.ru/bb13321
Для ОС Аврора 3.2.2: https://cve.omprussia.ru/bb14322
Для ОС Аврора 3.2.3: https://cve.omprussia.ru/bb15323
Для ОС Аврора 4.0.2: https://cve.omprussia.ru/bb16402
Статус уязвимости Подтверждена производителем
Наличие эксплойта Существует в открытом доступе
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения