ГлавнаяБаза уязвимостей БДУ → BDU:2020-05034
7.8высокая

BDU:2020-05034 (CVE-2020-15389)

Уязвимость компонента jp2/opj_decompress.c библиотеки для кодирования и декодирования изображений OpenJPEG, позволяющая нарушителю раскрыть защищаемую информацию или вызвать отказ в обслуживании
Опубликовано: 2020-11-10
Описание

Уязвимость компонента jp2/opj_decompress.c библиотеки для кодирования и декодирования изображений OpenJPEG связана с использованием памяти после ее освобождения. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, раскрыть защищаемую информацию или вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Outside In Technology (8.5.4)Astra Linux Special Edition (1.6 «Смоленск»)Astra Linux Common Edition (2.12 «Орёл»)Debian GNU/Linux (8)Debian GNU/Linux (10)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)OpenJPEG (до 2.3.1 включительно)Outside In Technology (8.5.5)OpenJPEG (до 2.3.1)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)ОСОН ОСнова Оnyx (до 2.1)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для OpenJPEG:
https://github.com/uclouvain/openjpeg/issues/1261

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuoct2020.html

Для Debian:
https://security-tracker.debian.org/tracker/CVE-2020-15389

Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47

Для ОСОН Основа:
Обновление программного обеспечения openjpeg2 до версии 2.3.0-2+deb10u2.osnova1

Для ОС ОН «Стрелец»:
Обновление программного обеспечения openjpeg2 до версии 2.3.0-2+deb10u2.osnova1

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://github.com/uclouvain/openjpeg/issues/1261https://lists.debian.org/debian-lts-announce/2020/07/msg00008.htmlhttps://nvd.nist.gov/vuln/detail/CVE-2020-15389https://security-tracker.debian.org/tracker/CVE-2020-15389https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16https://www.oracle.com/security-alerts/cpuoct2020.htmlhttps://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
Проверьте безопасность своего сайта и почты → Полная проверка домена