ГлавнаяБаза уязвимостей БДУ → BDU:2024-00520
10критическая

BDU:2024-00520 (CVE-2023-49465)

Уязвимость функции derivate_spatial_luma_vector_prediction реализации видеокодека h.265 Libde265, позволяющая нарушителю оказать влияние на конфиденциальность, целостность и доступность защищаемой информации
Опубликовано: 2024-01-22
Описание

Уязвимость функции derivate_spatial_luma_vector_prediction реализации видеокодека h.265 Libde265 связана с возможностью записи за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать влияние на конфиденциальность, целостность и доступность защищаемой информации

Затрагиваемое ПО и версии
Debian GNU/Linux (10)Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Альт 8 СПAstra Linux Special Edition (4.7)АЛЬТ СП 10Libde265 (до 1.0.15)ОСОН ОСнова Оnyx (до 2.10)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- контроль видеофайлов, полученных из недоверенных источников, с использованием антивирусного программного обеспечения;
- ограничение доступа к базовой операционной системе из внешних сетей (Интернет).

Использование рекомендаций:
Для Libde265:
https://github.com/strukturag/libde265/issues/435
https://github.com/strukturag/libde265/commit/1475c7d2f0a6dc35c27e18abc4db9679bfd32568

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-49465

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОСОН ОСнова Оnyx (версия 2.10):
Обновление программного обеспечения libde265 до версии 1.0.15-1

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Astra Linux:
обновить пакет libde265 до 1.0.11-0+deb10u6 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет libde265 до 1.0.11-0+deb10u6 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://github.com/strukturag/libde265/issues/435https://github.com/strukturag/libde265/commit/1475c7d2f0a6dc35c27e18abc4db9679bfd32568https://security-tracker.debian.org/tracker/CVE-2023-49465https://altsp.su/obnovleniya-bezopasnosti/https://altsp.su/obnovleniya-bezopasnosti/https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.10/http://repo.red-soft.ru/redos/7.3c/x86_64/updates/https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17
Проверьте безопасность своего сайта и почты → Полная проверка домена