ГлавнаяБаза уязвимостей БДУ → BDU:2022-00147
4.9средняя

BDU:2022-00147 (CVE-2021-45949)

Уязвимость реализации функции sampled_data_finish() набора программного обеспечения для обработки, преобразования и генерации документов Ghostscript, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2022-01-12
Описание

Уязвимость реализации функции sampled_data_finish() набора программного обеспечения для обработки, преобразования и генерации документов Ghostscript связана с записью за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)Debian GNU/Linux (10)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Debian GNU/Linux (11)Ghostscript (от 9.50 до 9.54 включительно)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)ОСОН ОСнова Оnyx (до 2.4.2)АЛЬТ СП 10ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для Ghostscript:
https://git.ghostscript.com/?p=ghostpdl.git;a=commit;h=2a3129365d3bc0d4a41f107ef175920d1505d1f7
https://github.com/google/oss-fuzz-vulns/blob/main/vulns/ghostscript/OSV-2021-803.yaml

Для Debian:
https://www.debian.org/security/2022/dsa-5038

Для ОС Astra Linux:
использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16

Для ОСОН Основа:
Обновление программного обеспечения ghostscript до версии 9.27~dfsg-2+deb10u5

Для Astra Linux Special Edition 4.7 (для архитектуры ARM):
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет ghostscript до 9.26a~dfsg-0+deb9u9+ci202205020411+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Для ОС ОН «Стрелец»:
Обновление программного обеспечения ghostscript до версии 9.26a~dfsg-0+deb9u9

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Оценка CVSS
Балл4.9 — средняя опасность
Источники и патчи
https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=34675https://git.ghostscript.com/?p=ghostpdl.git;a=commit;h=2a3129365d3bc0d4a41f107ef175920d1505d1f7https://github.com/google/oss-fuzz-vulns/blob/main/vulns/ghostscript/OSV-2021-803.yamlhttps://www.debian.org/security/2022/dsa-5038https://nvd.nist.gov/vuln/detail/CVE-2021-45949https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.4.2/
Проверьте безопасность своего сайта и почты → Полная проверка домена