ГлавнаяБаза уязвимостей БДУ → BDU:2021-05278
4.3средняя

BDU:2021-05278 (CVE-2021-23215)

Уязвимость компонента DwaCompressor программного обеспечения для хранения изображений с широкими динамическими диапазоном яркости OpenEXR, связанная с неконтролируемым расходом ресурсов, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2021-11-02
Описание

Уязвимость компонента DwaCompressor программного обеспечения для хранения изображений с широкими динамическими диапазоном яркости OpenEXR связана с целочисленным переполнением. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Astra Linux Special Edition (1.6 «Смоленск»)Debian GNU/Linux (8)Debian GNU/Linux (10)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)OpenEXR (до 3.0.1)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)ОСОН ОСнова Оnyx (до 2.7)РОСА ХРОМ (12.4)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Для OpenEXR:
использование рекомендаций производителя: https://github.com/AcademySoftwareFoundation/openexr/commit/0e08c959c5459e2ffd3b81b654c3ce8b71a4b42c

Для ОС Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-23215

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16

Для ОСОН ОСнова Оnyx (версия 2.7):
Обновление программного обеспечения openexr до версии 2.2.1-4.1+deb10u2

Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD

Для Astra Linux Special Edition для архитектуры ARM для 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD

Для операционной системы РОСА ХРОМ: https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2247

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет openexr до 2.2.0-11+deb9u4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Для ОС ОН «Стрелец»:
Обновление программного обеспечения openexr до версии 2.2.0-11+deb9u4

Оценка CVSS
Балл4.3 — средняя опасность
Источники и патчи
https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=29653https://github.com/AcademySoftwareFoundation/openexr/commit/0e08c959c5459e2ffd3b81b654c3ce8b71a4b42chttps://github.com/AcademySoftwareFoundation/openexr/pull/901https://nvd.nist.gov/vuln/detail/CVE-2021-23215https://security-tracker.debian.org/tracker/CVE-2021-23215https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.7/https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD
Проверьте безопасность своего сайта и почты → Полная проверка домена