ГлавнаяБаза уязвимостей БДУ → BDU:2021-01527
9.3высокая

BDU:2021-01527 (CVE-2020-35524)

Уязвимость модуля конвертации изображения TIFF в PDF TIFF2PDF библиотеки LibTIFF, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании
Опубликовано: 2021-03-22
Описание

Уязвимость модуля конвертации изображения TIFF в PDF TIFF2PDF библиотеки LibTIFF связана с некорректной обработкой TIFF файлов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код или вызвать отказ в обслуживании с помощью специально созданного TIFF файла

Затрагиваемое ПО и версии
Ubuntu (16.04 LTS)Debian GNU/Linux (9)Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)Debian GNU/Linux (10)РЕД ОС (7.2 Муром)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Ubuntu (20.04 LTS)Ubuntu (20.10)LibTIFF (до 4.2.0)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)ОСОН ОСнова Оnyx (до 2.1)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для LibTIFF:
https://gitlab.com/libtiff/libtiff/-/merge_requests/159
https://gitlab.com/rzkn/libtiff/-/commit/7be2e452ddcf6d7abca88f41d3761e6edab72b22

Для Debian GNU/Linux:
https://www.debian.org/security/2021/dsa-4869
https://security-tracker.debian.org/tracker/CVE-2020-35524

Для РЕД ОС:
Обновление программного средства до актуальной версии

Для Ubuntu:
https://ubuntu.com/security/notices/USN-4755-1

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47

Для ОСОН Основа:
Обновление программного обеспечения tiff до версии 4.1.0+git191117-2~deb10u2

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет tiff до 4.0.8-2+deb9u8+ci202212131103+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Для ОС ОН «Стрелец»:
Обновление программного обеспечения tiff до версии 4.0.8-2+deb9u8

Оценка CVSS
Балл9.3 — высокая опасность
Источники и патчи
https://www.securitylab.ru/vulnerability/517425.phphttps://www.cybersecurity-help.cz/vdb/SB2021031406https://bugzilla.redhat.com/show_bug.cgi?id=1932044https://gitlab.com/libtiff/libtiff/-/merge_requests/159https://gitlab.com/rzkn/libtiff/-/commit/7be2e452ddcf6d7abca88f41d3761e6edab72b22https://www.debian.org/security/2021/dsa-4869https://nvd.nist.gov/vuln/detail/CVE-2020-35524https://security-tracker.debian.org/tracker/CVE-2020-35524
Проверьте безопасность своего сайта и почты → Полная проверка домена