ГлавнаяБаза уязвимостей БДУ → BDU:2020-02869
6.8высокая

BDU:2020-02869 (CVE-2020-8112)

Уязвимость функции opj_t1_clbl_decode_processor (openjp2/t1.c) библиотеки для кодирования и декодирования изображений OpenJPEG, позволяющая нарушителю оказать влияние на конфиденциальность, целостность и доступность защищаемой информации
Опубликовано: 2020-06-19
Описание

Уязвимость функции opj_t1_clbl_decode_processor (openjp2/t1.c) библиотеки для кодирования и декодирования изображений OpenJPEG связана с записью за границами буфера в памяти (в случае qmfbid == 1). Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать влияние на конфиденциальность, целостность и доступность защищаемой информации

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Astra Linux Special Edition (1.6 «Смоленск»)Astra Linux Common Edition (2.12 «Орёл»)Red Hat Enterprise Linux (8)Fedora (30)Debian GNU/Linux (8)Fedora (31)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Red Hat Enterprise Linux (8.0 Update Services for SAP Solutions)OpenJPEG (от 2.3.1 до 2020-01-28)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)ОСОН ОСнова Оnyx (до 2.1)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для OpenJPEG:
https://github.com/uclouvain/openjpeg/issues/1231

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2020-8112

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TFEVEKETJV7GOXD5RDWL35ESEDHC663E/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/EFM77GIFWHOECNIERYJQPI2ZJU57GZD5/

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2020/01/msg00035.html

Для Astra Linux:
Обновление программного обеспечения (пакета openjpeg2) до 2.1.2-1.1+deb9u5 или более поздней версии

И использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47

Для ОСОН Основа:
Обновление программного обеспечения openjpeg2 до версии 2.3.0-2+deb10u2.osnova1

Для ОС ОН «Стрелец»:
Обновление программного обеспечения openjpeg2 до версии 2.3.0-2+deb10u2.osnova1

Для ОС Astra Linux 1.6 «Смоленск»:
обновить пакет openjpeg2 до 2.1.2-1.1+deb9u6 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16

Оценка CVSS
Балл6.8 — высокая опасность
Источники и патчи
https://access.redhat.com/security/cve/CVE-2020-8112https://github.com/uclouvain/openjpeg/issues/1231https://lists.debian.org/debian-lts-announce/2020/01/msg00035.htmlhttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/EFM77GIFWHOECNIERYJQPI2ZJU57GZD5/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TFEVEKETJV7GOXD5RDWL35ESEDHC663E/https://nvd.nist.gov/vuln/detail/CVE-2020-8112https://security-tracker.debian.org/tracker/CVE-2020-8112https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16
Проверьте безопасность своего сайта и почты → Полная проверка домена