Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2022-05861: Уязвимость функции _zip_read_eocd64 компонента zip_open.c библиотеки для работы с zip-архивами Libzip, позволяющая нарушителю вызвать отказ в обслуживании

Основная информация
Подробнее

Описание уязвимости

Уязвимость функции _zip_read_eocd64 компонента zip_open.c библиотеки для работы с zip-архивами Libzip связана с выделением неограниченной памяти. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, АО «Концерн ВНИИНС»

Наименование ПО

Astra Linux Special Edition (запись в едином реестре российских программ №369), Debian GNU/Linux, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), libzip, ОС ОН «Стрелец» (запись в едином реестре российских программ №6177)

Версия ПО

1.6 «Смоленск» (Astra Linux Special Edition)
10 (Debian GNU/Linux)
8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
11 (Debian GNU/Linux)
до 1.3.0 (libzip)
до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система, Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369)
Сообщество свободного программного обеспечения Debian GNU/Linux 10
ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград» (запись в едином реестре российских программ №11156)
Сообщество свободного программного обеспечения Debian GNU/Linux 11
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023 (запись в едином реестре российских программ №6177)

Тип ошибки

Неограниченное распределение ресурсов или дросселирование

Идентификатор типа ошибки

CWE-770

Класс уязвимости

Уязвимость кода

Дата выявления

24.08.2017

Базовый вектор уязвимости

CVSS 2.0: AV:N/AC:M/Au:N/C:N/I:N/A:C

CVSS 3.0: AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению уязвимости

Для Libzip:
использование рекомендаций производителя: https://github.com/nih-at/libzip/commit/9b46957ec98d85a572e9ef98301247f39338a3b5

Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2017-14107

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет libzip до 1.1.2-1.1+deb9u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Для ОС ОН «Стрелец»:
Обновление программного обеспечения libzip до версии 1.1.2-1.1+deb9u1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Способ эксплуатации

Манипулирование ресурсами

Способ устранения

Обновление программного обеспечения

Информация об устранении

Уязвимость устранена

Ссылки на источники

https://blogs.gentoo.org/ago/2017/09/01/libzip-memory-allocation-failure-in-_zip_cdir_grow-zip_dirent-c/
https://github.com/nih-at/libzip/commit/9b46957ec98d85a572e9ef98301247f39338a3b5
https://github.com/php/php-src/commit/f6e8ce812174343b5c9fd1860f9e2e2864428567
https://nvd.nist.gov/vuln/detail/CVE-2017-14107
https://security-tracker.debian.org/tracker/CVE-2017-14107
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023

Идентификаторы других систем описаний уязвимостей

CVE: CVE-2017-14107

Прочая информация

Данные уточняются

Последние изменения