ГлавнаяБаза уязвимостей БДУ → BDU:2021-03099
10критическая

BDU:2021-03099

Уязвимость библиотеки libwebp для кодирования и декодирования изображений в формате WebP, связанная с переполнением буфера в «куче», позволяющая нарушителю выполнить произвольный код
Опубликовано: 2021-06-18
Описание

Уязвимость библиотеки libwebp для кодирования и декодирования изображений в формате WebP связана с переполнением буфера в «куче». Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путем создания специально сформированного файла

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)РЕД ОС (7.2 Муром)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)libwebp (от 0.1.2 до 1.0.1 rc2)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)ROSA Virtualization (2.1)ОСОН ОСнова Оnyx (до 2.8)ОС ОН «Стрелец» (до 16.01.2023)ROSA Virtualization 3.0 (3.0)
Способ устранения

Использование рекомендаций:
Для РедОС:
http://repo.red-soft.ru/redos/7.2c/x86_64/updates/

Для libwebp:
https://chromium.googlesource.com/webm/libwebp/+log/be738c6d396fa5a272c1b209be4379a7532debfe..29fb8562c60b5a919a75d904ff7366af423f8ab9?pretty=fuller&n=10000

Для Astra Linux:
Использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47

Для системы управления средой виртуализации «ROSA Virtualization»:
https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2183

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения libwebp до версии 0.6.1+repack-2+deb10u2.osnova1

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет libwebp до 0.6.1-2+deb10u3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Для ОС ОН «Стрелец»:
Обновление программного обеспечения libwebp до версии 0.5.2-1+deb9u1

Для ОС Astra Linux Special Edition 1.7:
обновить пакет libwebp до 0.6.1-2+deb10u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2684

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
http://repo.red-soft.ru/redos/7.2c/x86_64/updates/https://www.cybersecurity-help.cz/vdb/SB2021060725https://www.securitylab.ru/vulnerability/520950.phphttps://chromium.googlesource.com/webm/libwebp/+log/be738c6d396fa5a272c1b209be4379a7532debfe..29fb8562c60b5a919a75d904ff7366af423f8ab9?pretty=fuller&n=10000https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2183https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.8/
Проверьте безопасность своего сайта и почты → Полная проверка домена