ГлавнаяБаза уязвимостей БДУ → BDU:2020-03597
6.8средняя

BDU:2020-03597 (CVE-2020-13428)

Уязвимость функции hxxx_AnnexB_to_xVC() программы-медиапроигрывателя Videolan VLC, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2020-07-31
Описание

Уязвимость функции hxxx_AnnexB_to_xVC() программы-медиапроигрывателя Videolan VLC связана с возможностью записи за пределами буфера в памяти. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, выполнить произвольный код при воспроизведении специально сформированного видео

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Astra Linux Special Edition (1.6 «Смоленск»)Debian GNU/Linux (8)Debian GNU/Linux (10)РЕД ОС (7.2 Муром)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)VLC Media Player (до 3.0.11)ОС ОН «Стрелец» (1.0)Альт 8 СПОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для РЕД ОС:
Пользователь должен воздержаться от открытия файлов от ненадежных третьих сторон или использования плеера VLC, пока не будет применено исправление, или установить обновления безопасности для пакета vlc-3.0.11

Для Videolan VLC:
Обновление до версии 3.0.11 и выше

Для Debian:
https://security-tracker.debian.org/tracker/CVE-2020-13428

Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81


Для ОС ОН «Стрелец»:
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie

Для ОС ОН «Стрелец»:
Обновление программного обеспечения vlc до версии 3.0.11-0+deb9u2.strelets1

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Оценка CVSS
Балл6.8 — средняя опасность
Источники и патчи
http://git.videolan.org/?p=vlc/vlc-3.0.git;a=commit;h=d5c43c21c747ff30ed19fcca745dea3481c733e0https://github.com/videolan/vlc/commits/master/modules/packetizer/hxxx_nal.chttps://github.com/videolan/vlc-3.0/releases/tag/3.0.11https://nvd.nist.gov/vuln/detail/CVE-2020-13428https://security-tracker.debian.org/tracker/CVE-2020-13428https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovleniehttps://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
Проверьте безопасность своего сайта и почты → Полная проверка домена