Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2022-05956: Уязвимость функции cv::Jpeg2KDecoder::readComponent8u компонента modules/imgcodecs/src/grfmt_jpeg2000.cpp библиотеки алгоритмов компьютерного зрения, обработки изображений и численных алгоритмов общего назначения Open Source Computer Vision Library (OpenCV), позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости	Уязвимость функции cv::Jpeg2KDecoder::readComponent8u компонента modules/imgcodecs/src/grfmt_jpeg2000.cpp библиотеки алгоритмов компьютерного зрения, обработки изображений и численных алгоритмов общего назначения Open Source Computer Vision Library (OpenCV) связана с записью за границами буфера. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, вызвать отказ в обслуживании с помощью специально созданного файла изображения
Вендор	ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, OpenCV team
Наименование ПО	Astra Linux Special Edition (запись в едином реестре российских программ №369), Debian GNU/Linux, Open Source Computer Vision Library (OpenCV)
Версия ПО	1.6 «Смоленск» (Astra Linux Special Edition) 10 (Debian GNU/Linux) 11 (Debian GNU/Linux) 3.3.1 (Open Source Computer Vision Library (OpenCV))
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369) Сообщество свободного программного обеспечения Debian GNU/Linux 10 Сообщество свободного программного обеспечения Debian GNU/Linux 11
Тип ошибки	Запись за границами буфера
Идентификатор типа ошибки	CWE-787
Класс уязвимости	Уязвимость кода
Дата выявления	07.01.2018
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:M/Au:N/C:N/I:N/A:C CVSS 3.0: AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)
Возможные меры по устранению уязвимости	Для Open Source Computer Vision Library (OpenCV): использование рекомендаций производителя: https://patch-diff.githubusercontent.com/raw/opencv/opencv/pull/10901.patch Для Debian: использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2018-5268 Для ОС Astra Linux: использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Существует в открытом доступе
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://github.com/opencv/opencv/issues/10541 https://nvd.nist.gov/vuln/detail/CVE-2018-5268 https://patch-diff.githubusercontent.com/raw/opencv/opencv/pull/10901.patch https://security-tracker.debian.org/tracker/CVE-2018-5268 https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2018-5268
Прочая информация	Данные уточняются

Последние изменения