BDU:2019-04239
АО "НППКТ", Canonical Ltd., Red Hat Inc., АО «Концерн ВНИИНС», Сообщество свободного программного об Red Hat Enterprise Linux, Astra Linux Common Edition, Astra Linux Special Edition, ОС ОН «Стрелец»,
2018-05-09
Уязвимость компонента types.cpp библиотеки для управления метаданными медиафайлов Exiv2 связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании (SIGABRT) с помощью вызова функции Exiv2::Internal::PngChunk::zlibUncompress
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций: Для Astra Linux: https://wiki.astralinux.ru/pages/viewpage.action?pageId=44892734 Обновление программного обеспечения (пакета exiv2) до 0.25-3.1+deb9u1 или более поздней версии
Для Exiv2: https://github.com/Exiv2/exiv2/issues/302
Для Debian GNU/Linux: https://www.debian.org/security/2018/dsa-4238 https://lists.debian.org/debian-lts-announce/2018/10/msg00012.html https://lists.debian.org/debian-lts-announce/2018/06/msg00010.html
Для программных продутов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2018-10958 https://access.redhat.com/errata/RHSA-2019:2101
Для Ubuntu: https://usn.ubuntu.com/3700-1/
Для ОСОН Основа: Обновление программного обеспечения exiv2 до версии 0.25+repack-4+deb10u2.osnova0u2
Для ОС ОН «Стрелец»: Обновление программного обеспечения exiv2 до версии 0.25-3.1+deb9u3