BDU:2021-01976
АО "НППКТ", Canonical Ltd., Red Hat Inc., АО «Концерн ВНИИНС», Сообщество свободного программного об Astra Linux Special Edition для «Эльбрус», Red Hat Enterprise Linux, Astra Linux Special Edition, ОС
2020-11-11
Уязвимость реализации метода сжатия файла с использованием строки сканирования Zip (per scanline) (ImfScanLineInputFile.cpp) библиотеки OpenEXR связана с неконтролируемым расходом ресурсов при обработки параметра to _data->linesInBuffer. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании путем открытия специально созданных EXR-файлов
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций: Для OpenEXR: https://github.com/AcademySoftwareFoundation/openexr/commit/bc88cdb6c97fbf5bc5d11ad8ca55306da931283a
Для Ubuntu: https://usn.ubuntu.com/usn/usn-4900-1
Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2021-3478
Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2021-3478
Для ОС Astra Linux: использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16
Для ОСОН Основа: Обновление программного обеспечения openexr до версии 2.2.1-4.1+deb10u1osnova1
Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD
Для Astra Linux Special Edition для архитектуры ARM для 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD
Для операционной системы РОСА ХРОМ: https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2248
Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»: обновить пакет openexr до 2.2.0-11+deb9u4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81
Для ОС ОН «Стрелец»: Обновление программного обеспечения openexr до версии 2.2.0-11+deb9u4