ГлавнаяБаза уязвимостей БДУ → BDU:2023-03836
3.2средняя

BDU:2023-03836 (CVE-2021-39212)

Уязвимость файла policy.xml консольного графического редактора ImageMagick, позволяющая нарушителю получить доступ к конфиденциальным данным и нарушить их целостность
Опубликовано: 2023-07-20
Описание

Уязвимость файла policy.xml консольного графического редактора ImageMagick связана с раскрытием информации в ошибочной области данных. Эксплуатация уязвимости позволяет нарушителю получить доступ к конфиденциальным данным и нарушить их целостность

Затрагиваемое ПО и версии
Debian GNU/Linux (10)Debian GNU/Linux (11)Debian GNU/Linux (12)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)ОСОН ОСнова Оnyx (до 2.5)ImageMagick (от 6.9.12-0 до 6.9.12-22)ImageMagick (от 7.1.0-0 до 7.1.0-7)ОСОН ОСнова Оnyx (до 2.10)
Способ устранения

Для ImageMagick:
использование рекомендаций производителя: https://github.com/ImageMagick/ImageMagick/security/advisories/GHSA-qvhr-jj4p-j2qr

Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-39212

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0630SE17MD

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения imagemagick до версии 8:6.9.11.60+dfsg-1.3osnova0

Для ОС Astra Linux Special Edition для архитектуры ARM 4.7:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0907SE47

Для ОСОН ОСнова Оnyx (версия 2.10):
Обновление программного обеспечения imagemagick до версии 8:6.9.11.60+dfsg-1.3+deb11u3.osnova1

Оценка CVSS
Балл3.2 — средняя опасность
Источники и патчи
https://github.com/ImageMagick/ImageMagick/commit/01faddbe2711a4156180c4a92837e2f23683cc68https://github.com/ImageMagick/ImageMagick/commit/35893e7cad78ce461fcaffa56076c11700ba5e4ehttps://github.com/ImageMagick/ImageMagick/security/advisories/GHSA-qvhr-jj4p-j2qrhttps://nvd.nist.gov/vuln/detail/CVE-2021-39212https://security-tracker.debian.org/tracker/CVE-2021-39212https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0630SE17MDhttps://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.5/https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0907SE47
Проверьте безопасность своего сайта и почты → Полная проверка домена