ГлавнаяБаза уязвимостей БДУ → BDU:2020-04720
6.8высокая

BDU:2020-04720 (CVE-2019-7638)

Уязвимость функции Map1toN библиотеки Simple DirectMedia Layer, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
Опубликовано: 2020-10-16
Описание

Уязвимость функции Map1toN (video/SDL_pixels.c.) библиотеки Simple DirectMedia Layer связана с переполнением буфера на основе кучи. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Затрагиваемое ПО и версии
Ubuntu (16.04 LTS)Astra Linux Special Edition (1.5 «Смоленск»)OpenSUSE Leap (42.3)Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)Suse Linux Enterprise Desktop (12 SP3)Suse Linux Enterprise Desktop (12 SP4)SUSE Linux Enterprise Server for SAP Applications (12 SP3)SUSE Linux Enterprise Server for SAP Applications (12 SP4)SUSE Linux Enterprise Software Development Kit (12 SP3)SUSE Linux Enterprise Software Development Kit (12 SP4)Suse Linux Enterprise Server (12 SP3)Suse Linux Enterprise Server (12 SP4)Suse Linux Enterprise Server (11 SP4)SUSE Linux Enterprise Software Development Kit (11 SP4)Ubuntu (12.04 ESM)Ubuntu (19.04)SDL (до 1.2.15 включительно)SDL (от 2.0.0 до 2.0.9 включительно)Astra Linux Common Edition (2.12 «Орёл»)OpenSUSE Leap (15.0)SUSE Linux Enterprise Module for Desktop Applications (15)SUSE Linux Enterprise Module for Desktop Applications (15 SP1)SUSE Linux Enterprise Point of Sale (11 SP3)SUSE Linux Enterprise Server for SAP Applications (11 SP4)OpenSUSE Leap (15.1)Ubuntu (14.04 ESM)Suse Linux Enterprise Server (12 SP5)SUSE Linux Enterprise Software Development Kit (12 SP5)Debian GNU/Linux (8)
Способ устранения

Использование рекомендаций:
Для Simple DirectMedia Layer:
Обновление библиотеки Simple DirectMedia Layer до актуальной версии

Для Astralinux:
Использование рекомендаций в Бюллетене № 20190329SE15: https://wiki.astralinux.ru/pages/viewpage.action?pageId=1212483
Или использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/pages/viewpage.action?pageId=47416144
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16

Для Ubuntu:
https://usn.ubuntu.com/4143-1/
https://usn.ubuntu.com/4156-1/

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2019/03/msg00015.html
https://lists.debian.org/debian-lts-announce/2019/03/msg00016.html
https://lists.debian.org/debian-lts-announce/2019/10/msg00020.html
https://lists.debian.org/debian-lts-announce/2019/10/msg00021.html

Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2019-04/msg00088.html
https://lists.opensuse.org/opensuse-security-announce/2019-04/msg00073.html
https://lists.opensuse.org/opensuse-security-announce/2019-04/msg00063.html

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/7ZO47LLKKRXKMUGSRCFNHSTHG5OEBYCG/

Для ОСОН Основа:
Обновление программного обеспечения libsdl1.2 до версии 1.2.15+dfsg2-6.osnova1

Для ОСОН Основа:
Обновление программного обеспечения libsdl2 до версии 2.0.14+dfsg2-3

Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17

Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
- обновить пакет libsdl2 до 2.0.5+dfsg1-2+deb9u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81
- обновить пакет libsdl1.2 до 1.2.15+dfsg1-4+deb9u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Для ОС ОН «Стрелец»:
Обновление программного обеспечения libsdl2 до версии 2.0.5+dfsg1-2+deb9u2
Обновление программного обеспечения libsdl1.2 до версии 1.2.15+dfsg2-6.osnova1

Оценка CVSS
Балл6.8 — высокая опасность
Источники и патчи
https://bugzilla.libsdl.org/show_bug.cgi?id=4500https://discourse.libsdl.org/t/vulnerabilities-found-in-libsdl-1-2-15/25720https://lists.debian.org/debian-lts-announce/2019/03/msg00015.htmlhttps://lists.debian.org/debian-lts-announce/2019/03/msg00016.htmlhttps://lists.debian.org/debian-lts-announce/2019/10/msg00020.htmlhttps://lists.debian.org/debian-lts-announce/2019/10/msg00021.htmlhttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/7ZO47LLKKRXKMUGSRCFNHSTHG5OEBYCG/https://lists.opensuse.org/opensuse-security-announce/2019-04/msg00063.html
Проверьте безопасность своего сайта и почты → Полная проверка домена