BDU:2023-02149
Сообщество свободного программного обеспечения, ООО «Ред Софт» CairoSVG, РЕД ОС, Debian GNU/Linux
Дата обнаружения
2023-03-20
Официальное описание
Уязвимость SVG-конвертера CairoSVG связана с недостаточной проверкой поступающих запросов при обработке SVG-файлов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществить SSRF-атаку или вызвать отказ в обслуживании
🛡️
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций:
Для CairoSVG:
https://github.com/Kozea/CairoSVG/commit/12d31c653c0254fa9d9853f66b04ea46e7397255
https://github.com/Kozea/CairoSVG/commit/33007d4af9195e2bfb2ff9af064c4c2d8e4b2b53
https://github.com/Kozea/CairoSVG/releases/tag/2.7.0
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2023-27586