ГлавнаяБаза уязвимостей БДУ → BDU:2021-03106
10критическая

BDU:2021-03106

Уязвимость библиотеки libwebp для кодирования и декодирования изображений в формате WebP, связанная с использованием неинициализированной переменной, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2021-06-18
Описание

Уязвимость библиотеки libwebp для кодирования и декодирования изображений в формате WebP связана с использованием неинициализированной переменной. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)РЕД ОС (7.2 Муром)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)libwebp (от 0.1.2 до 1.0.1 rc2)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)ROSA Virtualization (2.1)ОСОН ОСнова Оnyx (до 2.8)ОС ОН «Стрелец» (до 16.01.2023)ROSA Virtualization 3.0 (3.0)
Способ устранения

Использование рекомендаций:
Для РедОС:
http://repo.red-soft.ru/redos/7.2c/x86_64/updates/

Для libwebp:
https://chromium.googlesource.com/webm/libwebp/+log/78ad57a36ad69a9c22874b182d49d64125c380f2..907208f97ead639bd521cf355a2f203f462eade6

Для Astra Linux:
Использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47

Для системы управления средой виртуализации «ROSA Virtualization»:
https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2183

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения libwebp до версии 0.6.1+repack-2+deb10u2.osnova1

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет libwebp до 0.6.1-2+deb10u3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Для ОС ОН «Стрелец»:
Обновление программного обеспечения libwebp до версии 0.5.2-1+deb9u1

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2684

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
http://repo.red-soft.ru/redos/7.2c/x86_64/updates/https://www.cybersecurity-help.cz/vdb/SB2021060725https://www.securitylab.ru/vulnerability/520950.phphttps://chromium.googlesource.com/webm/libwebp/+log/78ad57a36ad69a9c22874b182d49d64125c380f2..907208f97ead639bd521cf355a2f203f462eade6https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2183
Проверьте безопасность своего сайта и почты → Полная проверка домена