ГлавнаяБаза уязвимостей БДУ → BDU:2021-01352
5.8высокая

BDU:2021-01352 (CVE-2020-13790)

Уязвимость функции start_input_ppm из rdppm.c библиотеки для работы с изображениями libjpeg-turbo, связанная с чтением за допустимыми границами буфера данных, позволяющая нарушителю получить доступ к конфиденциальным данным, а также вызвать отказ в обслуживании
Опубликовано: 2021-03-15
Описание

Уязвимость функции start_input_ppm из rdppm.c библиотеки для работы с изображениями libjpeg-turbo связана с чтением за допустимыми границами буфера данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, а также вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Ubuntu (12.04)Ubuntu (16.04 LTS)Debian GNU/Linux (9)Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)Astra Linux Common Edition (2.12 «Орёл»)Ubuntu (14.04 ESM)Debian GNU/Linux (8)Debian GNU/Linux (10)Ubuntu (19.10)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Fedora (32)Ubuntu (20.04 LTS)libjpeg-turbo (до 2.0.4)Альт 8 СПОСОН ОСнова Оnyx (до 2.1)ОСОН ОСнова Оnyx (до 2.5)ROSA Virtualization (2.1)ОС ОН «Стрелец» (до 16.01.2023)ROSA Virtualization 3.0 (3.0)
Способ устранения

Использование рекомендаций:
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/P4D6KNUY7YANSPH7SVQ44PJKSABFKAUB/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/U6563YHSVZK24MPJXGJVK3CQG7JVWZGK/

Для Ubuntu:
https://ubuntu.com/security/notices/USN-4386-1

Для libjpeg-turbo:
https://github.com/libjpeg-turbo/libjpeg-turbo/commit/3de15e0c344d11d4b90f4a47136467053eb2d09a

Для Debian:
https://security-tracker.debian.org/tracker/CVE-2020-13790

Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81

Для ОСОН Основа:
Обновление программного обеспечения libjpeg-turbo до версии 1:1.5.2-2+deb10u1

Для ОСОН ОСнова Оnyx:Обновление программного обеспечения libjpeg-turbo-pantum до версии 2.1.2-0ubuntu1osnova1

Для ОС ОН «Стрелец»:
Обновление программного обеспечения libjpeg-turbo до версии 1:1.5.1-2+deb9u2

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2890

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2880

Оценка CVSS
Балл5.8 — высокая опасность
Источники и патчи
https://github.com/libjpeg-turbo/libjpeg-turbo/commit/3de15e0c344d11d4b90f4a47136467053eb2d09ahttps://github.com/libjpeg-turbo/libjpeg-turbo/issues/433https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/P4D6KNUY7YANSPH7SVQ44PJKSABFKAUB/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/U6563YHSVZK24MPJXGJVK3CQG7JVWZGK/https://nvd.nist.gov/vuln/detail/CVE-2020-13790https://security-tracker.debian.org/tracker/CVE-2020-13790https://ubuntu.com/security/notices/USN-4386-1https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16
Проверьте безопасность своего сайта и почты → Полная проверка домена