ГлавнаяБаза уязвимостей БДУ → BDU:2021-03098
4средняя

BDU:2021-03098

Уязвимость библиотеки libwebp для кодирования и декодирования изображений в формате WebP, связанная с чтением за границами буфера в памяти, позволяющая нарушителю получить доступ к конфиденциальной информации
Опубликовано: 2021-06-18
Описание

Уязвимость библиотеки libwebp для кодирования и декодирования изображений в формате WebP связана с чтением за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальной информации путем создания специально сформированного файла

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)РЕД ОС (7.2 Муром)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)libwebp (от 0.1.2 до 1.0.1 rc2)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)ROSA Virtualization (2.1)ОСОН ОСнова Оnyx (до 2.8)ОС ОН «Стрелец» (до 16.01.2023)ROSA Virtualization 3.0 (3.0)
Способ устранения

Использование рекомендаций:
Для РедОС:
http://repo.red-soft.ru/redos/7.2c/x86_64/updates/

Для libwebp:
https://chromium.googlesource.com/webm/libwebp/+/1344a2e947c749d231141a295327e5b99b444d63

Для Astra Linux:
Использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47

Для системы управления средой виртуализации «ROSA Virtualization»:
https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2183

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения libwebp до версии 0.6.1+repack-2+deb10u2.osnova1

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет libwebp до 0.6.1-2+deb10u3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Для ОС ОН «Стрелец»:
Обновление программного обеспечения libwebp до версии 0.5.2-1+deb9u1

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2684

Оценка CVSS
Балл4 — средняя опасность
Источники и патчи
https://chromium.googlesource.com/webm/libwebp/+/1344a2e947c749d231141a295327e5b99b444d63https://www.cybersecurity-help.cz/vdb/SB2021060725http://repo.red-soft.ru/redos/7.2c/x86_64/updates/https://www.securitylab.ru/vulnerability/520950.phphttps://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2183
Проверьте безопасность своего сайта и почты → Полная проверка домена