BDU:2022-05861: Уязвимость функции _zip_read_eocd64 компонента zip_open.c библиотеки для работы с zip-архивами Libzip, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости Уязвимость функции _zip_read_eocd64 компонента zip_open.c библиотеки для работы с zip-архивами Libzip связана с выделением неограниченной памяти. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, вызвать отказ в обслуживании
Вендор ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения
Наименование ПО Astra Linux Special Edition (запись в едином реестре российских программ №369), Debian GNU/Linux, libzip
Версия ПО 1.6 «Смоленск» (Astra Linux Special Edition), 10 (Debian GNU/Linux), 11 (Debian GNU/Linux), до 1.3.0 (libzip)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
  • ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» Не указана (запись в едином реестре российских программ №369)
  • Сообщество свободного программного обеспечения Debian GNU/Linux 10 Не указана
  • Сообщество свободного программного обеспечения Debian GNU/Linux 11 Не указана
Тип ошибки Неограниченное распределение ресурсов или дросселирование
Идентификатор типа ошибки CWE-770
Класс уязвимости Уязвимость кода
Дата выявления 24.08.2017
Базовый вектор уязвимости
  • CVSS 2.0: AV:N/AC:M/Au:N/C:N/I:N/A:C
  • CVSS 3.0: AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)
Возможные меры по устранению уязвимости
Для Libzip:
использование рекомендаций производителя: https://github.com/nih-at/libzip/commit/9b46957ec98d85a572e9ef98301247f39338a3b5

Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2017-14107

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование ресурсами
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
https://blogs.gentoo.org/ago/2017/09/01/libzip-memory-allocation-failure-in-_zip_cdir_grow-zip_dirent-c/ https://github.com/nih-at/libzip/commit/9b46957ec98d85a572e9ef98301247f39338a3b5 https://github.com/php/php-src/commit/f6e8ce812174343b5c9fd1860f9e2e2864428567 https://nvd.nist.gov/vuln/detail/CVE-2017-14107 https://security-tracker.debian.org/tracker/CVE-2017-14107 https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются

© ФАУ "ГНИИИ ПТЗИ ФСТЭК России"