BDU:2022-05920: Уязвимость параметра командной строки -ImgDir библиотеки для кодирования и декодирования изображений OpenJPEG, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости Уязвимость параметра командной строки -ImgDir библиотеки для кодирования и декодирования изображений OpenJPEG связана с некорректной обработкой директории с большим количеством файлов. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, вызвать отказ в обслуживании
Вендор Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра», АО "НППКТ"
Наименование ПО Debian GNU/Linux, Astra Linux Common Edition (запись в едином реестре российских программ №4433), OpenJPEG, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО
  • 10 (Debian GNU/Linux)
  • 11 (Debian GNU/Linux)
  • 1.6 «Смоленск» (Astra Linux Common Edition)
  • до 2.5.0 (OpenJPEG)
  • до 2.1 (ОСОН ОСнова Оnyx)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Тип ошибки Целочисленное переполнение или циклический сдвиг
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 24.03.2021
Базовый вектор уязвимости
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)
Возможные меры по устранению уязвимости
Для OpenJPEG:
использование рекомендаций производителя: https://github.com/uclouvain/openjpeg/commit/79c7d7af598b778c3cdcb455df23d50efc95eb3c

Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-29338

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения openjpeg2 до версии 2.3.0-2+deb10u2.osnova1
Статус уязвимости Подтверждена производителем
Наличие эксплойта Существует в открытом доступе
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения