ГлавнаяБаза уязвимостей БДУ → BDU:2021-00777
7.8высокая

BDU:2021-00777 (CVE-2020-35738)

Уязвимость функции WavpackPackSamples компонента pack_utils.c аудиокодека WavPack, связанная с выходом операции за допустимые границы буфера данных, позволяющая нарушителю нарушить целостность данных, а также вызвать отказ в обслуживании
Опубликовано: 2021-02-16
Описание

Уязвимость функции WavpackPackSamples компонента pack_utils.c аудиокодека WavPack связана с выходом операции за допустимые границы буфера данных. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, нарушить целостность данных, а также вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)Astra Linux Common Edition (2.12 «Орёл»)Red Hat Enterprise Linux (8)OpenSUSE Leap (15.1)Debian GNU/Linux (8)Debian GNU/Linux (10)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Fedora (32)Ubuntu (20.04 LTS)Ubuntu (20.10)OpenSUSE Leap (15.2)Fedora (33)WavPack (5.3.0)WavPack (до 5.4.0)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)ОСОН ОСнова Оnyx (до 2.5)РОСА ХРОМ (12.4)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для WavPack:
https://github.com/dbry/WavPack/issues/91

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/2YZLKYE66EU4XRHTABV5LB2G7ZDZ422F/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/PENN4ZXRPZULEJOYTTLUZMBZ5H46QTUC/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-35738

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2020-35738/

Для Ubuntu:
https://usn.ubuntu.com/usn/usn-4682-1

Для ОС Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2020-35738

Для ОС Astra Linux:
использование рекомендаций производителя:
https://wiki.astralinux.ru/pages/viewpage.action?pageId=47416144
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81

Для ОСОН Основа:
Обновление программного обеспечения wavpack до версии 5.1.0-6+deb10u1osnova1

Для ОС ОН «Стрелец»:
Обновление программного обеспечения wavpack до версии 5.0.0-2+deb9u3

Для ОС Astra Linux:
обновить пакет wavpack до 5.1.0-6+deb10u1+ci202401091246+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет wavpack до 5.1.0-6+deb10u1+ci202401091246+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2024-2540

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://access.redhat.com/security/cve/cve-2020-35738https://github.com/dbry/WavPack/commit/63f3ec70129843dd64e11aa4c21c4a1cf00c9f1chttps://github.com/dbry/WavPack/commit/89df160596132e3bd666322e1c20b2ebd4b92cd0https://github.com/dbry/WavPack/issues/91https://lists.debian.org/debian-lts-announce/2021/01/msg00013.htmlhttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/2YZLKYE66EU4XRHTABV5LB2G7ZDZ422F/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/PENN4ZXRPZULEJOYTTLUZMBZ5H46QTUC/https://nvd.nist.gov/vuln/detail/CVE-2020-35738
Проверьте безопасность своего сайта и почты → Полная проверка домена