БДУ - Print

BDU:2019-03986: Уязвимость функции fill_threshhold_buffer (base/gxht_thresh.c) набора программного обеспечения для обработки, преобразования и генерации документов Ghostscript, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании

Описание уязвимости	Уязвимость функции fill_threshhold_buffer (base/gxht_thresh.c) набора программного обеспечения для обработки, преобразования и генерации документов Ghostscript связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код или вызвать отказ в обслуживании
Вендор	Canonical Ltd., ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, Artifex Software Inc.
Наименование ПО	Ubuntu, Astra Linux, Debian GNU/Linux, Ghostscript
Версия ПО	14.04 LTS (Ubuntu), 16.04 LTS (Ubuntu), 17.10 (Ubuntu), 18.04 LTS (Ubuntu), 1.6 «Смоленск» (Astra Linux), 8.0 (Debian GNU/Linux), 9.0 (Debian GNU/Linux), 9.20 (Ghostscript)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Canonical Ltd. Ubuntu 14.04 LTS Не указана Canonical Ltd. Ubuntu 16.04 LTS Не указана Canonical Ltd. Ubuntu 17.10 Не указана Canonical Ltd. Ubuntu 18.04 LTS Не указана ООО «РусБИТех-Астра» Astra Linux 1.6 «Смоленск» Не указана Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 Не указана Сообщество свободного программного обеспечения Debian GNU/Linux 9.0 Не указана
Тип ошибки	Выход операции за границы буфера в памяти
Идентификатор типа ошибки	CWE-119
Класс уязвимости	Уязвимость кода
Дата выявления	03.04.2017
Базовый вектор уязвимости	AV:N/AC:M/Au:N/C:P/I:P/A:P
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,6)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для Astra Linux: https://wiki.astralinux.ru/pages/viewpage.action?pageId=44892734 Для Ubuntu: https://usn.ubuntu.com/3636-1/ Для Debian GNU/Linux: https://www.debian.org/News/2018/20180623.ru.html https://www.debian.org/News/2018/20180714.ru.html Для Ghostscript: Обновление программного обеспечения до актуальной версии
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Существует в открытом доступе
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://wiki.astralinux.ru/pages/viewpage.action?pageId=44892734 https://usn.ubuntu.com/3636-1/ https://www.debian.org/News/2018/20180623.ru.html https://www.debian.org/News/2018/20180714.ru.html https://www.securityfocus.com/bid/97410/info https://bugs.ghostscript.com/show_bug.cgi?id=697459 https://www.cvedetails.com/cve/CVE-2016-10317/?q=CVE-2016-10317
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2016-10317
Прочая информация	Данные уточняются