Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2022-05949: Уязвимость функции cv::RBaseStream::readBlock компонента modules/imgcodecs/src/bitstrm.cpp библиотеки алгоритмов компьютерного зрения, обработки изображений и численных алгоритмов общего назначения Open Source Computer Vision Library (OpenCV), позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Основная информация
Подробнее

Описание уязвимости

Уязвимость функции cv::RBaseStream::readBlock компонента modules/imgcodecs/src/bitstrm.cpp библиотеки алгоритмов компьютерного зрения, обработки изображений и численных алгоритмов общего назначения Open Source Computer Vision Library (OpenCV) связана с чтением за допустимыми границами буфера данных. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Вендор

ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, OpenCV team

Наименование ПО

Astra Linux Special Edition (запись в едином реестре российских программ №369), Debian GNU/Linux, Open Source Computer Vision Library (OpenCV)

Версия ПО

1.6 «Смоленск» (Astra Linux Special Edition)
10 (Debian GNU/Linux)
11 (Debian GNU/Linux)
до 3.3.0 включительно (Open Source Computer Vision Library (OpenCV))

Тип ПО

Операционная система, Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369)
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Сообщество свободного программного обеспечения Debian GNU/Linux 11

Тип ошибки

Чтение за границами буфера

Идентификатор типа ошибки

CWE-125

Класс уязвимости

Уязвимость кода

Дата выявления

04.08.2017

Базовый вектор уязвимости

CVSS 2.0: AV:N/AC:M/Au:N/C:C/I:C/A:C

CVSS 3.0: AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,3)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Для Open Source Computer Vision Library (OpenCV):
использование рекомендаций производителя: https://github.com/opencv/opencv/issues/9309

Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2017-12598

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Способ эксплуатации

Манипулирование структурами данных

Способ устранения

Обновление программного обеспечения

Информация об устранении

Уязвимость устранена

Ссылки на источники

https://github.com/opencv/opencv/issues/9309
https://nvd.nist.gov/vuln/detail/CVE-2017-12598
https://security-tracker.debian.org/tracker/CVE-2017-12598
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16

Идентификаторы других систем описаний уязвимостей

CVE: CVE-2017-12598

Прочая информация

Данные уточняются

Последние изменения