ГлавнаяБаза уязвимостей БДУ → BDU:2020-04701
6.8высокая

BDU:2020-04701 (CVE-2019-7575)

Уязвимость функции MS_ADPCM_decode библиотеки Simple DirectMedia Layer, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
Опубликовано: 2020-10-15
Описание

Уязвимость функции MS_ADPCM_decode (audio/SDL_wave.c) библиотеки Simple DirectMedia Layer связана с переполнением буфера на основе кучи. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Затрагиваемое ПО и версии
Ubuntu (16.04 LTS)Astra Linux Special Edition (1.5 «Смоленск»)OpenSUSE Leap (42.3)openSUSE (42.3)Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)Suse Linux Enterprise Desktop (12 SP3)Suse Linux Enterprise Desktop (12 SP4)SUSE Linux Enterprise Software Development Kit (12 SP3)SUSE Linux Enterprise Software Development Kit (12 SP4)Suse Linux Enterprise Server (12 SP3)Suse Linux Enterprise Server (12 SP4)Suse Linux Enterprise Server (11 SP4)SUSE Linux Enterprise Software Development Kit (11 SP4)Ubuntu (12.04 ESM)SDL (до 1.2.15 включительно)SDL (от 2.0.0 до 2.0.9 включительно)Astra Linux Common Edition (2.12 «Орёл»)OpenSUSE Leap (15.0)Ubuntu (14.04 ESM)SUSE Linux Enterprise Software Development Kit (12 SP5)Debian GNU/Linux (8)Fedora (31)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)openSUSE (15.0)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)ОСОН ОСнова Оnyx (до 2.1)ОСОН ОСнова Оnyx (до 2.5)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для Simple DirectMedia Layer:
Обновление библиотеки Simple DirectMedia Layer до актуальной версии

Для Astralinux:
Использование рекомендаций в Бюллетене № 20190329SE15: https://wiki.astralinux.ru/pages/viewpage.action?pageId=1212483
Использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/pages/viewpage.action?pageId=47416144
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16

Для Ubuntu:
https://usn.ubuntu.com/4156-1/
https://usn.ubuntu.com/4156-2/

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2019/03/msg00015.html
https://lists.debian.org/debian-lts-announce/2019/03/msg00016.html
https://lists.debian.org/debian-lts-announce/2019/10/msg00020.html
https://lists.debian.org/debian-lts-announce/2019/10/msg00021.html

Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2019-04/msg00088.html
https://lists.opensuse.org/opensuse-security-announce/2019-04/msg00073.html
https://lists.opensuse.org/opensuse-security-announce/2019-04/msg00063.html

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/7ZO47LLKKRXKMUGSRCFNHSTHG5OEBYCG/

Для ОСОН Основа:
Обновление программного обеспечения libsdl2 до версии 2.0.14+dfsg2-3

Для ОС Astra Linux Special Edition 1.7:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0426SE17

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0727SE47

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
- обновить пакет libsdl2 до 2.0.5+dfsg1-2+deb9u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81
- обновить пакет libsdl1.2 до 1.2.15+dfsg1-4+deb9u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Для ОС ОН «Стрелец»:
Обновление программного обеспечения libsdl2 до версии 2.0.5+dfsg1-2+deb9u2
Обновление программного обеспечения libsdl1.2 до версии 1.2.15+dfsg2-6.osnova1

Оценка CVSS
Балл6.8 — высокая опасность
Источники и патчи
https://bugzilla.libsdl.org/show_bug.cgi?id=4493https://discourse.libsdl.org/t/vulnerabilities-found-in-libsdl-1-2-15/25720https://lists.debian.org/debian-lts-announce/2019/03/msg00015.htmlhttps://lists.debian.org/debian-lts-announce/2019/03/msg00016.htmlhttps://lists.debian.org/debian-lts-announce/2019/10/msg00020.htmlhttps://lists.debian.org/debian-lts-announce/2019/10/msg00021.htmlhttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/7ZO47LLKKRXKMUGSRCFNHSTHG5OEBYCG/https://lists.opensuse.org/opensuse-security-announce/2019-04/msg00063.html
Проверьте безопасность своего сайта и почты → Полная проверка домена