ГлавнаяБаза уязвимостей БДУ → BDU:2021-02741
10критическая

BDU:2021-02741 (CVE-2021-32493)

Уязвимость функции DJVU::GBitmap::decode() набора библиотек и утилит DjVuLibre, позволяющая нарушителю выполнить произвольный код в целевой системе
Опубликовано: 2021-06-01
Описание

Уязвимость функции DJVU::GBitmap::decode() набора библиотек и утилит DjVuLibre связана с переполнением буфера в динамической памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код в целевой системе с помощью специально созданного файла djvu

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)Debian GNU/Linux (10)РЕД ОС (7.2 Муром)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Ubuntu (20.10)Ubuntu (21.04)Ubuntu (20.10 LTS)Ubuntu (16.04 ESM)DjVuLibre (от 3.5.1 до 3.5.27)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)
Способ устранения

Использование рекомендаций:
Для DjVuLibre:
https://github.com/cloudfoundry/cflinuxfs3/releases/tag/0.238.0

Для РЕД ОС:
http://repo.red-soft.ru/redos/7.2c/x86_64/updates/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2021-32493

Для Ubuntu:
https://ubuntu.com/security/notices/USN-4957-1
https://ubuntu.com/security/notices/USN-4957-2

Для ОС Astra Linux:
использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет djvulibre до 3.5.27.1-7+deb9u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://github.com/cloudfoundry/cflinuxfs3/releases/tag/0.238.0https://redos.red-soft.ru/updatesec/https://www.cybersecurity-help.cz/vdb/SB2021051716https://security-tracker.debian.org/tracker/CVE-2021-32493https://ubuntu.com/security/notices/USN-4957-1https://ubuntu.com/security/notices/USN-4957-2https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17
Проверьте безопасность своего сайта и почты → Полная проверка домена