ГлавнаяБаза уязвимостей БДУ → BDU:2022-05220
10критическая

BDU:2022-05220

Уязвимость функции ReadGifHeader() библиотеки HDF5 libhdf5, позволяющая нарушителю выполнить произвольный код в целевой системе
Опубликовано: 2022-08-24
Описание

Уязвимость функции ReadGifHeader() (gifread.c) библиотеки HDF5 libhdf5 связана с записью за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код в целевой системе посредством открытия пользователем специально созданного вредоносного GIF-файла

Затрагиваемое ПО и версии
РЕД ОС (7.3)Astra Linux Special Edition (1.7)HDF5 (1.10.4)Astra Linux Special Edition (4.7)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- запрет преобразования GIF-файлов в формат HDF5, полученных из недоверенных источников;
- отключение неиспользуемых учетных записей, а также учетных записей недоверенных пользователей;
- использование программного средства с минимально необходимым уровнем привилегий.

Для ОС Astra Linux Special Edition 1.7:
обновить пакет hdf5 до 1.10.6+repack-4+deb11u1+ci202308231818+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17

Для Astra Linux Special Edition 4.7:
обновить пакет hdf5 до 1.10.6+repack-4+deb11u1+ci202308231818+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47

Для РедоС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://talosintelligence.com/vulnerability_reports/TALOS-2022-1486https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Проверьте безопасность своего сайта и почты → Полная проверка домена