ГлавнаяБаза уязвимостей БДУ → BDU:2021-03500
6.5средняя

BDU:2021-03500 (CVE-2020-14355)

Уязвимость процесса декодирования изображений QUIC системы рендеринга удаленного виртуального рабочего стола SPICE, связанная с копированием буфера без проверки размера входных данных, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Опубликовано: 2021-07-08
Описание

Уязвимость процесса декодирования изображений QUIC системы рендеринга удаленного виртуального рабочего стола SPICE связана с копированием буфера без проверки размера входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Astra Linux Special Edition (1.6 «Смоленск»)Astra Linux Common Edition (2.12 «Орёл»)Debian GNU/Linux (8)Debian GNU/Linux (10)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)spice (до 0.14.2)Альт 8 СПОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Для SPICE:
использование рекомендаций производителя: https://bugzilla.redhat.com/show_bug.cgi?id=1868435

Для ОС Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2020-14355

Для ОС Astra Linux:
использование рекомендаций производителя:
https://wiki.astralinux.ru/pages/viewpage.action?pageId=47416144
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81

Для ОС ОН «Стрелец»:
Обновление программного обеспечения spice до версии 0.12.8-2.1+deb9u4
Обновление программного обеспечения spice-gtk до версии 0.33-3.3+deb9u2

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Оценка CVSS
Балл6.5 — средняя опасность
Источники и патчи
https://bugzilla.redhat.com/show_bug.cgi?id=1868435https://gitlab.freedesktop.org/spice/spice-common/-/commit/404d74782c8b5e57d146c5bf3118bb41bf3378e4https://gitlab.freedesktop.org/spice/spice-common/-/commit/762e0abae36033ccde658fd52d3235887b60862dhttps://gitlab.freedesktop.org/spice/spice-common/-/commit/b24fe6b66b86e601c725d30f00c37e684b6395b6https://gitlab.freedesktop.org/spice/spice-common/-/commit/ef1b6ff7b82e15d759e5415b8e35b92bb1a4c206https://nvd.nist.gov/vuln/detail/CVE-2020-14355https://security-tracker.debian.org/tracker/CVE-2020-14355https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16
Проверьте безопасность своего сайта и почты → Полная проверка домена