ГлавнаяБаза уязвимостей БДУ → BDU:2023-04787
7.8высокая

BDU:2023-04787 (CVE-2022-3109)

Уязвимость функции vp3_decode_frame компонента libavcodec/vp3.c мультимедийной библиотеки FFmpeg, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2023-08-21
Описание

Уязвимость функции vp3_decode_frame компонента libavcodec/vp3.c мультимедийной библиотеки FFmpeg связана с отсутствием проверки возвращаемого значения функции av_malloc(). Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)Debian GNU/Linux (10)Debian GNU/Linux (11)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Альт 8 СПFFmpeg (до 5.1)РОСА ХРОМ (12.4)АЛЬТ СП 10
Способ устранения

Для FFmpeg:
использование рекомендаций производителя: https://bugzilla.redhat.com/show_bug.cgi?id=2153551

Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2022-3109

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0727SE47

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства

Для операционной системы РОСА ХРОМ: https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2277

Для Astra Linux 1.6 «Смоленск»:
обновить пакет ffmpeg до 7:3.2.19-0+deb9u3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16

Для ОС Astra Linux Special Edition 1.7:
обновить пакет ffmpeg до 7:4.1.10-0+deb10u1+ci202304031454+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0426SE17

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://bugzilla.redhat.com/show_bug.cgi?id=2153551https://github.com/FFmpeg/FFmpeg/commit/51efa68ec0b4f42b5b124b8987fb68f60a929c4fhttps://github.com/FFmpeg/FFmpeg/commit/656cb0450aeb73b25d7d26980af342b37ac4c568https://github.com/FFmpeg/FFmpeg/commit/7694a44baaaa4786995590a8ba2b16acd8ef8177https://nvd.nist.gov/vuln/detail/CVE-2022-3109https://security-tracker.debian.org/tracker/CVE-2022-3109https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0727SE47https://altsp.su/obnovleniya-bezopasnosti/
Проверьте безопасность своего сайта и почты → Полная проверка домена