ГлавнаяБаза уязвимостей БДУ → BDU:2023-07738
10критическая

BDU:2023-07738 (CVE-2017-12652)

Уязвимость библиотеки для работы с растровой графикой в формате PNG Libpng, связанная с недостаточной проверкой вводимых данных, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Опубликовано: 2023-11-14
Описание

Уязвимость библиотеки для работы с растровой графикой в формате PNG Libpng связана с недостаточной проверкой вводимых данных. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Debian GNU/Linux (10)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Debian GNU/Linux (11)Debian GNU/Linux (12)libpng (до 1.6.32)
Способ устранения

Для Libpng:
использование рекомендаций производителя: https://github.com/glennrp/libpng/commit/095b4ce16bb46acb259ea1a4ca6562a623e58d93

Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2017-12652

Для ОС Astra Linux:
обновить пакет libpng1.6 до 1.6.37-3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
http://www.securityfocus.com/bid/109269https://github.com/glennrp/libpng/blob/df7e9dae0c4aac63d55361e35709c864fa1b8363/ANNOUNCEhttps://github.com/glennrp/libpng/commit/095b4ce16bb46acb259ea1a4ca6562a623e58d93https://github.com/glennrp/libpng/commit/13bc0b6b1f8f2f2491fcc9f0c1c939ff06e13c15https://github.com/glennrp/libpng/commit/2dbef2f2a9e759a80d2decb6862518acf4919c59https://github.com/glennrp/libpng/commit/2dca15686fadb1b8951cb29b02bad4cae73448dahttps://github.com/glennrp/libpng/commit/347538efbdc21b8df684ebd92d37400b3ce85d55https://github.com/glennrp/libpng/commit/a1fe2c98489519d415b72bc0026f0c86d82278b7
Проверьте безопасность своего сайта и почты → Полная проверка домена