ГлавнаяБаза уязвимостей БДУ → BDU:2023-05897
7.8высокая

BDU:2023-05897 (CVE-2020-22628)

Уязвимость функции LibRaw::stretch() библиотеки для обработки изображений LibRaw, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2023-09-21
Описание

Уязвимость функции LibRaw::stretch() библиотеки для обработки изображений LibRaw связана с выходом операции за границы буфера в памяти при обработке CRW-файлов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (8)Debian GNU/Linux (10)Ubuntu (20.04 LTS)Debian GNU/Linux (11)Debian GNU/Linux (12)Astra Linux Special Edition (1.7)Red Hat Enterprise Linux (9)Astra Linux Special Edition (4.7)LibRaw (до 0.20-RC2)РОСА ХРОМ (12.4)ОСОН ОСнова Оnyx (до 2.9)
Способ устранения

Использование рекомендаций:
Для LibRaw:
https://github.com/LibRaw/LibRaw/issues/269
https://github.com/LibRaw/LibRaw/commit/84bbb972d94a965f70302b85738778443540774a
https://github.com/LibRaw/LibRaw/releases/tag/0.20-RC2

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2020-22628
https://lists.debian.org/debian-lts-announce/2023/09/msg00007.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-22628

Для Ubuntu:
https://ubuntu.com/security/notices/USN-6377-1

Для ОС Astra Linux Special Edition 1.7:
обновить пакет libraw до 0.19.2-2+deb10u4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения libraw до версии 0.20.2+really0.19.2-2osnova4

Для Astra Linux Special Edition 4.7:
обновить пакет libraw до 0.19.2-2+deb10u4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2024-2474

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://security-tracker.debian.org/tracker/CVE-2020-22628https://lists.debian.org/debian-lts-announce/2023/09/msg00007.htmlhttps://vuldb.com/ru/?id.237807https://access.redhat.com/security/cve/cve-2020-22628https://github.com/advisories/GHSA-c4mp-wp8f-qrg6https://github.com/LibRaw/LibRaw/issues/269https://bugzilla.redhat.com/show_bug.cgi?id=2234992https://ubuntu.com/security/notices/USN-6377-1
Проверьте безопасность своего сайта и почты → Полная проверка домена