BDU:2018-00589: Уязвимость SPICE-клиента Spice-GTK, связанная с недостаточной проверкой вводимых данных, позволяющая нарушителю выполнить произвольный код

Описание уязвимости Уязвимость SPICE-клиента Spice-gtk связана с недостаточной проверкой вводимых данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с использованием специально сформированных сообщений сервера
Вендор Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра»
Наименование ПО Spice-GTK, Astra Linux Special Edition (запись в едином реестре российских программ №369), Debian GNU/Linux, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156)
Версия ПО до 0.34 включительно (Spice-GTK), 1.6 «Смоленск» (Astra Linux Special Edition), 8.0 (Debian GNU/Linux), 9.0 (Debian GNU/Linux), 10.0 (Debian GNU/Linux), 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
Тип ПО Сетевое программное средство, Операционная система
Операционные системы и аппаратные платформы
Тип ошибки Недостаточная проверка вводимых данных
Идентификатор типа ошибки CWE-20
Класс уязвимости Уязвимость кода
Дата выявления 14.03.2018
Базовый вектор уязвимости
  • CVSS 2.0: AV:N/AC:L/Au:N/C:P/I:P/A:P
    CVSS 3.0: Вектор не задан
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Spice-gtk:
https://bugzilla.redhat.com/show_bug.cgi?id=1501200

Для Debian:
https://security-tracker.debian.org/tracker/CVE-2017-12194

Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование ресурсами
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются