ГлавнаяБаза уязвимостей БДУ → BDU:2024-01356
10критическая

BDU:2024-01356 (CVE-2023-49467)

Уязвимость функции derive_combined_bipredictive_merging_candidates (motion.cc) реализации видеокодека h.265 Libde265, позволяющая нарушителю оказать влияние на конфиденциальность, целостность и доступность защищаемой информации
Опубликовано: 2024-02-19
Описание

Уязвимость функции derive_combined_bipredictive_merging_candidates (motion.cc) реализации видеокодека h.265 Libde265 связана с переполнением буфера в динамической памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать влияние на конфиденциальность, целостность и доступность защищаемой информации

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)Debian GNU/Linux (10)Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Альт 8 СПAstra Linux Special Edition (4.7)РОСА ХРОМ (12.4)АЛЬТ СП 10Libde265 (до 1.0.15)ОСОН ОСнова Оnyx (до 2.10)
Способ устранения

Компенсирующие меры:
- контроль видеофайлов, полученных из недоверенных источников, с использованием антивирусного программного обеспечения;
- ограничение доступа к базовой операционной системе из внешних сетей (Интернет).

Использование рекомендаций:

Для Libde265:
https://github.com/strukturag/libde265/releases/tag/v1.0.15
https://github.com/strukturag/libde265/commit/7e4faf254bbd2e52b0f216cb987573a2cce97b54

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-49467

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОСОН ОСнова Оnyx (версия 2.10):
Обновление программного обеспечения libde265 до версии 1.0.15-1

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Astra Linux:
обновить пакет libde265 до 1.0.11-0+deb10u6 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17

Для Astra Linux Special Edition 1.6 «Смоленск»::
обновить пакет libde265 до 1.0.2-2+ci202406111041+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет libde265 до 1.0.11-0+deb10u6 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2651

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://github.com/strukturag/libde265/releases/tag/v1.0.15https://github.com/strukturag/libde265/commit/7e4faf254bbd2e52b0f216cb987573a2cce97b54https://github.com/strukturag/libde265/issues/434https://lists.debian.org/debian-lts-announce/2023/12/msg00022.htmlhttps://security-tracker.debian.org/tracker/CVE-2023-49467https://altsp.su/obnovleniya-bezopasnosti/https://altsp.su/obnovleniya-bezopasnosti/https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.10/
Проверьте безопасность своего сайта и почты → Полная проверка домена