ГлавнаяБаза уязвимостей БДУ → BDU:2022-02388
9.3высокая

BDU:2022-02388 (CVE-2021-45463)

Уязвимость функции load_cache графического редактора GIMP, позволяющая нарушителю передавать специальные данные приложению и выполнять произвольные команды ОС в целевой системе
Опубликовано: 2022-04-19
Описание

Уязвимость функции load_cache графического редактора GIMP существует из-за непринятия мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, передавать специальные данные приложению и выполнять произвольные команды ОС в целевой системе

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Red Hat Enterprise Linux (8)Suse Linux Enterprise Server (12 SP5)SUSE Linux Enterprise Server for SAP Applications (12 SP5)Suse Linux Enterprise Desktop (12 SP5)Fedora (34)Fedora (35)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Suse Linux Enterprise Server (15 SP3)SUSE Linux Enterprise Server for SAP Applications (15 SP3)Suse Linux Enterprise Desktop (15 SP3)Suse Linux Enterprise Server (15 SP2)SUSE Linux Enterprise Server for SAP Applications (15 SP2)Альт 8 СПGNU Image Manipulation Program (до 2.10.30)GEGL (до 0.4.34)
Способ устранения

Использование рекомендаций:
Для GEGL:
https://gitlab.gnome.org/GNOME/gegl/-/issues/298
https://gitlab.gnome.org/GNOME/gegl/-/commit/bfce470f0f2f37968862129d5038b35429f2909b

Для GIMP:
https://gitlab.gnome.org/GNOME/gimp/-/commit/e8a31ba4f2ce7e6bc34882dc27c97fba993f5868

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2021-45463

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/CG635WJCNXHJM5U4BGMAAP4NK2YFTQXK/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ZP5NDNOTMPI335FXE7VUPW7FXYTT7PYN/

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2021-45463.html

Для Альт 8 СП:
https://altsp.su/obnovleniya-bezopasnosti/

Для ОС Astra Linux:
обновить пакет gegl до 0.4.12-2+ci202409031446+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17

Для ОС Astra Linux:
обновить пакет gegl до 0.4.12-2+ci202409031446+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

Оценка CVSS
Балл9.3 — высокая опасность
Источники и патчи
https://nvd.nist.gov/vuln/detail/CVE-2021-45463https://access.redhat.com/security/cve/cve-2021-45463https://access.redhat.com/security/cve/cve-2021-45463https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/CG635WJCNXHJM5U4BGMAAP4NK2YFTQXK/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ZP5NDNOTMPI335FXE7VUPW7FXYTT7PYN/https://www.suse.com/security/cve/CVE-2021-45463.htmlhttps://altsp.su/obnovleniya-bezopasnosti/https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE102
Проверьте безопасность своего сайта и почты → Полная проверка домена