ГлавнаяБаза уязвимостей БДУ → BDU:2021-03899
10критическая

BDU:2021-03899 (CVE-2021-3246)

Уязвимость функции msadpcm_decode_block библиотеки libsndfile, вызванная переполнением буфера, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2021-08-04
Описание

Уязвимость функции msadpcm_decode_block библиотеки libsndfile вызвана переполнением буфера. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код при помощи специально созданного файла WAV

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Astra Linux Special Edition (1.6 «Смоленск»)Red Hat Enterprise Linux (8)Suse Linux Enterprise Server (12 SP2-BCL)Suse Linux Enterprise Server (12 SP3-LTSS)Suse Linux Enterprise Server (12 SP3-BCL)Suse Linux Enterprise Server (12 SP5)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Suse Linux Enterprise Server (15-LTSS)Suse Linux Enterprise Server (12 SP4 LTSS)Suse Linux Enterprise Server (12 SP4-ESPOS)Suse Linux Enterprise Server (15 SP1-BCL)Suse Linux Enterprise Server (15 SP1-LTSS)libsndfile (1.0.30)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)ОС Аврора (до 4.0.2.172)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Обновление библиотеки libsndfile до актуальной версии

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2021-3246

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2021-3246.html

Для ОС Astra Linux:
использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47

Для ОС Аврора 3.2.1: https://cve.omprussia.ru/bb13321
Для ОС Аврора 3.2.2: https://cve.omprussia.ru/bb14322
Для ОС Аврора 3.2.3: https://cve.omprussia.ru/bb15323
Для ОС Аврора 4.0.2: https://cve.omprussia.ru/bb16402

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет libsndfile до 1.0.27-3+deb9u3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Для ОС ОН «Стрелец»:
Обновление программного обеспечения libsndfile до версии 1.0.27-3+deb9u3

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://access.redhat.com/security/cve/cve-2021-3246https://www.suse.com/security/cve/CVE-2021-3246.htmlhttps://github.com/libsndfile/libsndfile/issues/687https://bugzilla.redhat.com/show_bug.cgi?id=1984319https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47https://cve.omprussia.ru/bb13321
Проверьте безопасность своего сайта и почты → Полная проверка домена