| Описание уязвимости | Уязвимость компонента hb-ot-shape-fallback.cc библиотеки для преобразования текста Harfbuzz связана с целочисленным переполнением в файле hb-ot-shape-fallback.cc. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании с помощью передачи приложению специально созданных данных |
| Вендор | Сообщество свободного программного обеспечения, Canonical Ltd., Fedora Project, ООО «Ред Софт», Red Hat Inc., Behdad Esfahbod и др., АО "НППКТ" |
| Наименование ПО | Debian GNU/Linux, Ubuntu, Fedora, РЕД ОС (запись в едином реестре российских программ №3751), Red Hat Enterprise Linux, HarfBuzz, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913) |
| Версия ПО | 10.0 (Debian GNU/Linux), 20.04 LTS (Ubuntu), 35 (Fedora), 7.3 (РЕД ОС), 36 (Fedora), 22.04 LTS (Ubuntu), 9 (Red Hat Enterprise Linux), от 4.0.0 до 4.3.0 (HarfBuzz), до 2.6 (ОСОН ОСнова Оnyx) |
| Тип ПО | Операционная система, Прикладное ПО информационных систем |
| Операционные системы и аппаратные платформы |
|
| Тип ошибки | Целочисленное переполнение или циклический сдвиг |
| Идентификатор типа ошибки | CWE-190 |
| Класс уязвимости | Уязвимость кода |
| Дата выявления | 19.07.2022 |
| Базовый вектор уязвимости |
|
| Уровень опасности уязвимости | Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5) |
| Возможные меры по устранению уязвимости |
Использование рекомендаций:
Для Harfbuzz: https://github.com/harfbuzz/harfbuzz/commit/62e803b36173fd096d7ad460dd1d1db9be542593 Для РЕД ОС: https://redos.red-soft.ru/support/secure/ Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/FQBJ24W6TXLSAQWCFW7IBGUMX4AJI3S4/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/QQMEXOVDL3T2UXKBCON7JSOCE646G7HG/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/W56WTC5IY4EIUHVUIHMCXA3BSBZLSZCI/ Для Ubuntu: https://ubuntu.com/security/notices/USN-5524-1 Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2022-33068 Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2022-33068 Для ОСОН ОСнова Оnyx: Обновление программного обеспечения harfbuzz до версии 2.3.1-1.osnova0 |
| Статус уязвимости | Подтверждена производителем |
| Наличие эксплойта | Существует в открытом доступе |
| Способ эксплуатации |
|
| Способ устранения | Обновление программного обеспечения |
| Информация об устранении | Уязвимость устранена |
| Ссылки на источники |
https://github.com/harfbuzz/harfbuzz/commit/62e803b36173fd096d7ad460dd1d1db9be542593
https://redos.red-soft.ru/support/secure/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/FQBJ24W6TXLSAQWCFW7IBGUMX4AJI3S4/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/QQMEXOVDL3T2UXKBCON7JSOCE646G7HG/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/W56WTC5IY4EIUHVUIHMCXA3BSBZLSZCI/
https://ubuntu.com/security/notices/USN-5524-1
https://security-tracker.debian.org/tracker/CVE-2022-33068
https://github.com/harfbuzz/harfbuzz/issues/3557
https://access.redhat.com/security/cve/CVE-2022-33068
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.6/
|
| Идентификаторы других систем описаний уязвимостей |
|
| Прочая информация | Данные уточняются |