BDU:2022-05796: Уязвимость функции flac_buffer_copy библиотеки libsndfile, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости Уязвимость функции flac_buffer_copy библиотеки libsndfile связана с чтением данных за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации, а также вызвать отказ в обслуживании
Вендор ООО «РусБИТех-Астра», Red Hat Inc., Сообщество свободного программного обеспечения, Canonical Ltd., Novell Inc., ООО «Открытая мобильная платформа», АО "НППКТ"
Наименование ПО Astra Linux Special Edition (запись в едином реестре российских программ №369), Red Hat Enterprise Linux, Debian GNU/Linux, Ubuntu, OpenSUSE Leap, libsndfile, ОС Аврора (запись в едином реестре российских программ №1543), ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО
  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 8 (Red Hat Enterprise Linux)
  • 10.0 (Debian GNU/Linux)
  • 16.04 ESM (Ubuntu)
  • 15.3 (OpenSUSE Leap)
  • 11.0 (Debian GNU/Linux)
  • 1.7 (Astra Linux Special Edition)
  • 15.4 (OpenSUSE Leap)
  • 1.1.10 (libsndfile)
  • до 4.0.2.172 (ОС Аврора)
  • до 2.6 (ОСОН ОСнова Оnyx)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Тип ошибки Чтение за границами буфера
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 23.03.2022
Базовый вектор уязвимости
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,1)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для ОС Аврора 3.2.1: https://cve.omprussia.ru/bb13321
Для ОС Аврора 3.2.2: https://cve.omprussia.ru/bb14322
Для ОС Аврора 3.2.3: https://cve.omprussia.ru/bb15323
Для ОС Аврора 4.0.2: https://cve.omprussia.ru/bb16402

Для libsndfile:
https://github.com/libsndfile/libsndfile/pull/732/commits/4c30646abf7834e406f7e2429c70bc254e18beab

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2021-4156

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2021-4156.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2021-4156

Для Ubuntu:
https://ubuntu.com/security/notices/USN-5409-1

Для ОС Astra Linux:
использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения libsndfile до версии 1.0.28-6+deb10u2
Статус уязвимости Подтверждена производителем
Наличие эксплойта Существует в открытом доступе
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения