ГлавнаяБаза уязвимостей БДУ → BDU:2021-05210
5средняя

BDU:2021-05210 (CVE-2021-20296)

Уязвимость функции декомпрессии Dwa библиотеки IlmImf программного обеспечения для хранения изображений с широкими динамическими диапазоном яркости OpenEXR, связанная с ошибками разыменования указателя, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2021-10-27
Описание

Уязвимость функции декомпрессии Dwa библиотеки IlmImf программного обеспечения для хранения изображений с широкими динамическими диапазоном яркости OpenEXR связана с ошибками разыменования указателя. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Astra Linux Special Edition (1.6 «Смоленск»)Debian GNU/Linux (8)Debian GNU/Linux (10)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)OpenEXR (до 2.4.3)OpenEXR (от 2.5.0 до 2.5.4)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)ОСОН ОСнова Оnyx (до 2.7)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Для OpenEXR:
использование рекомендаций производителя: https://github.com/AcademySoftwareFoundation/openexr/commit/b0c63c0b96eb9b0d3998f603e12f9f414fb0d44a

Для ОС Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-20296

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16

Для ОСОН ОСнова Оnyx (версия 2.7):
Обновление программного обеспечения openexr до версии 2.2.1-4.1+deb10u2

Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD

Для Astra Linux Special Edition для архитектуры ARM для 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет openexr до 2.2.0-11+deb9u4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Для ОС ОН «Стрелец»:
Обновление программного обеспечения openexr до версии 2.2.0-11+deb9u4

Оценка CVSS
Балл5 — средняя опасность
Источники и патчи
https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=24854https://github.com/AcademySoftwareFoundation/openexr/commit/b0c63c0b96eb9b0d3998f603e12f9f414fb0d44ahttps://nvd.nist.gov/vuln/detail/CVE-2021-20296https://security-tracker.debian.org/tracker/CVE-2021-20296https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.7/https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MDhttps://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD
Проверьте безопасность своего сайта и почты → Полная проверка домена