ГлавнаяБаза уязвимостей БДУ → BDU:2021-03103
4средняя

BDU:2021-03103

Уязвимость библиотеки libwebp для кодирования и декодирования изображений в формате WebP, связанная с чтением за границами буфера в памяти, позволяющая нарушителю получить доступ к конфиденциальной информации
Опубликовано: 2021-06-18
Описание

Уязвимость библиотеки libwebp для кодирования и декодирования изображений в формате WebP связана с чтением за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальной информации путем создания специально сформированного файла

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)РЕД ОС (7.2 Муром)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)libwebp (от 0.1.2 до 1.0.1 rc2)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)ROSA Virtualization (2.1)ОСОН ОСнова Оnyx (до 2.8)ОС ОН «Стрелец» (до 16.01.2023)ROSA Virtualization 3.0 (3.0)
Способ устранения

Использование рекомендаций:
Для РедОС:
http://repo.red-soft.ru/redos/7.2c/x86_64/updates/

Для libwebp:
https://chromium.googlesource.com/webm/libwebp/+/907208f97ead639bd521cf355a2f203f462eade6

Для Astra Linux:
Использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47

Для системы управления средой виртуализации «ROSA Virtualization»:
https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2183

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения libwebp до версии 0.6.1+repack-2+deb10u2.osnova1

Для системы управления средой виртуализации «ROSA Virtualization» : https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2183

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет libwebp до 0.6.1-2+deb10u3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Для ОС ОН «Стрелец»:
Обновление программного обеспечения libwebp до версии 0.5.2-1+deb9u1

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2684

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2884

Оценка CVSS
Балл4 — средняя опасность
Источники и патчи
http://repo.red-soft.ru/redos/7.2c/x86_64/updates/https://www.cybersecurity-help.cz/vdb/SB2021060725https://www.securitylab.ru/vulnerability/520950.phphttps://chromium.googlesource.com/webm/libwebp/+/907208f97ead639bd521cf355a2f203f462eade6https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2183
Проверьте безопасность своего сайта и почты → Полная проверка домена