БДУ - Print

BDU:2020-01530: Уязвимость компонента backend/tiff/tiff-document.c программного средства просмотра документов Evince, позволяющая нарушителю выполнить произвольный код

Описание уязвимости	Уязвимость компонента backend/tiff/tiff-document.c программного средства просмотра документов Evince вызвана переполнением буфера. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код с помощью специально созданного PDF-файла
Вендор	Canonical Ltd., ООО «РусБИТех-Астра», Novell Inc., Сообщество свободного программного обеспечения
Наименование ПО	Ubuntu, Astra Linux Special Edition (запись в едином реестре российских программ №369), Suse Linux Enterprise Desktop, SUSE Enterprise Storage, SUSE Linux Enterprise Server for SAP Applications, SUSE Linux Enterprise Software Development Kit, SUSE Linux Enterprise Workstation Extension, SUSE OpenStack Cloud, Debian GNU/Linux, SUSE Linux Enterprise Module for Open Buildservice Development Tools, Suse Linux Enterprise Server, OpenSUSE Leap, SUSE Linux Enterprise Module for Desktop Applications, SUSE Linux Enterprise Point of Sale, HPE Helion Openstack, SUSE Linux Enterprise High Performance Computing, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), Evince
Версия ПО	16.04 LTS (Ubuntu), 1.6 «Смоленск» (Astra Linux Special Edition), 12 SP4 (Suse Linux Enterprise Desktop), 4 (SUSE Enterprise Storage), 12 SP2 (SUSE Linux Enterprise Server for SAP Applications), 12 SP2-BCL (SUSE Linux Enterprise Server for SAP Applications), 12 SP2-ESPOS (SUSE Linux Enterprise Server for SAP Applications), 12 SP2-LTSS (SUSE Linux Enterprise Server for SAP Applications), 12 SP3 (SUSE Linux Enterprise Server for SAP Applications), 12 SP4 (SUSE Linux Enterprise Server for SAP Applications), 12 SP4 (SUSE Linux Enterprise Software Development Kit), 12 SP4 (SUSE Linux Enterprise Workstation Extension), 7 (SUSE OpenStack Cloud), 8.0 (Debian GNU/Linux), 9.0 (Debian GNU/Linux), 15 (SUSE Linux Enterprise Module for Open Buildservice Development Tools), 12 SP4 (Suse Linux Enterprise Server), 15.0 (OpenSUSE Leap), 5 (SUSE Enterprise Storage), 15 (SUSE Linux Enterprise Module for Desktop Applications), 12 SP2-CLIENT (SUSE Linux Enterprise Point of Sale), 15 SP1 (SUSE Linux Enterprise Module for Desktop Applications), 12 SP2-BCL (Suse Linux Enterprise Server), 12 SP2-ESPOS (Suse Linux Enterprise Server), 11 SP3 (SUSE Linux Enterprise Point of Sale), 12 SP1 (SUSE Linux Enterprise Server for SAP Applications), 12 SP1-LTSS (SUSE Linux Enterprise Server for SAP Applications), 15 SP1 (SUSE Linux Enterprise Module for Open Buildservice Development Tools), 15.1 (OpenSUSE Leap), 11 SP4-LTSS (Suse Linux Enterprise Server), 12 SP1-LTSS (Suse Linux Enterprise Server), 12 SP2-LTSS (Suse Linux Enterprise Server), 11 SP4-LTSS (SUSE Linux Enterprise Server for SAP Applications), 12 SP3-LTSS (Suse Linux Enterprise Server), 8 (SUSE OpenStack Cloud), 12 SP3-BCL (Suse Linux Enterprise Server), 12 SP5 (Suse Linux Enterprise Server), 12 SP3-BCL (SUSE Linux Enterprise Server for SAP Applications), 12 SP3-LTSS (SUSE Linux Enterprise Server for SAP Applications), 12 SP5 (SUSE Linux Enterprise Software Development Kit), Crowbar 8 (SUSE OpenStack Cloud), 8 (HPE Helion Openstack), 12 SP3-ESPOS (Suse Linux Enterprise Server), 12 SP3-ESPOS (SUSE Linux Enterprise Server for SAP Applications), 12 SP5 (SUSE Linux Enterprise High Performance Computing), 12 SP5 (SUSE Linux Enterprise Workstation Extension), 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»), 3.26.0 (Evince)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Canonical Ltd. Ubuntu 16.04 LTS Не указана ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» Не указана (запись в едином реестре российских программ №369) Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 Не указана Сообщество свободного программного обеспечения Debian GNU/Linux 9.0 Не указана Novell Inc. OpenSUSE Leap 15.0 Не указана Novell Inc. OpenSUSE Leap 15.1 Не указана ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград» Не указана (запись в едином реестре российских программ №11156)
Тип ошибки	Выход операции за границы буфера в памяти
Идентификатор типа ошибки	CWE-119
Класс уязвимости	Уязвимость кода
Дата выявления	14.07.2019
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:M/Au:N/C:C/I:C/A:C CVSS 3.0: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,3) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для Evince: Обновление программного средства просмотра документов Evince до актуальной версии Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2019-1010006/ Для Ubuntu: https://usn.ubuntu.com/4067-1/ Для Astra Linux: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20200327SE16 https://wiki.astralinux.ru/astra-linux-se81-bulletin-20200429SE81 Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2019-1010006
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-1010006.html?_ga=2.72894035.1969003529.1563858569-1618695258.1547637860 https://www.suse.com/security/cve/CVE-2019-1010006/ https://nvd.nist.gov/vuln/detail/CVE-2019-1010006 https://usn.ubuntu.com/4067-1/ https://bugzilla.gnome.org/show_bug.cgi?id=788980 http://bugzilla.maptools.org/show_bug.cgi?id=2745 https://security-tracker.debian.org/tracker/CVE-2019-1010006 https://wiki.astralinux.ru/astra-linux-se81-bulletin-20200429SE81
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2019-1010006
Прочая информация	Данные уточняются