ГлавнаяБаза уязвимостей БДУ → BDU:2021-02743
10критическая

BDU:2021-02743

Уязвимость функции DJVU::filter_bv() набора библиотек и утилит DjVuLibre, позволяющая нарушителю выполнить произвольный код в целевой системе с помощью специально созданного файла djvu
Опубликовано: 2021-06-01
Описание

Уязвимость функции DJVU::filter_bv() набора библиотек и утилит DjVuLibre связана с записью за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код в целевой системе с помощью специально созданного файла djvu

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)Debian GNU/Linux (10)РЕД ОС (7.2 Муром)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Ubuntu (20.10)Ubuntu (21.04)Ubuntu (20.10 LTS)Ubuntu (16.04 ESM)DjVuLibre (от 3.5.1 до 3.5.27)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)
Способ устранения

Использование рекомендаций:
Для DjVuLibre:
https://github.com/cloudfoundry/cflinuxfs3/releases/tag/0.238.0

Для РЕД ОС:
http://repo.red-soft.ru/redos/7.2c/x86_64/updates/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2021-32490

Для Ubuntu:
https://ubuntu.com/security/notices/USN-4957-1
https://ubuntu.com/security/notices/USN-4957-2

Для ОС Astra Linux:
использование рекомендаций производителя
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет djvulibre до 3.5.27.1-7+deb9u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://github.com/cloudfoundry/cflinuxfs3/releases/tag/0.238.0https://redos.red-soft.ru/updatesec/https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81
Проверьте безопасность своего сайта и почты → Полная проверка домена