ГлавнаяБаза уязвимостей БДУ → BDU:2024-04531
7.1высокая

BDU:2024-04531 (CVE-2024-5197)

Уязвимость функции vpx_img_alloc() библиотеки кодирования/декодирования видео libvpx, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2024-06-14
Описание

Уязвимость функции vpx_img_alloc() библиотеки кодирования/декодирования видео libvpx связана с целочисленным переполнением. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путем передачи специально созданных данных

Затрагиваемое ПО и версии
Suse Linux Enterprise Desktop (12 SP3)Suse Linux Enterprise Desktop (12 SP4)SUSE Linux Enterprise Server for SAP Applications (12 SP2)SUSE Linux Enterprise Server for SAP Applications (12 SP3)SUSE Linux Enterprise Server for SAP Applications (12 SP4)OpenSUSE Leap (15.5)Suse Linux Enterprise Server (12 SP3)Suse Linux Enterprise Server (12 SP4)Red Hat Enterprise Linux (8)Suse Linux Enterprise Server (12 SP2-BCL)Suse Linux Enterprise Server (12 SP2-ESPOS)Suse Linux Enterprise Server (12-LTSS)SUSE Linux Enterprise Server for SAP Applications (12 SP1)SUSE Linux Enterprise Server for SAP Applications (15)SUSE Linux Enterprise Server for SAP Applications (15 SP1)Suse Linux Enterprise Server (12 SP1-LTSS)Suse Linux Enterprise Server (12 SP2-LTSS)Suse Linux Enterprise Server (12 SP3-LTSS)Suse Linux Enterprise Server (12 SP3-BCL)Suse Linux Enterprise Server (12 SP5)SUSE Linux Enterprise Server for SAP Applications (12 SP5)Debian GNU/Linux (10)Suse Linux Enterprise Server (12 SP3-ESPOS)Suse Linux Enterprise Desktop (12 SP2)Suse Linux Enterprise Server (12 SP2)Suse Linux Enterprise Server (15-LTSS)Suse Linux Enterprise Desktop (12 SP1)Suse Linux Enterprise Server (12 SP1)SUSE Linux Enterprise Server for SAP Applications (12)Ubuntu (20.04 LTS)
Способ устранения

Использование рекомендаций:
Для libvpx:
обновление программного средства до версии 1.14.1 и выше

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2024-5197

Для Ubuntu:
https://ubuntu.com/security/CVE-2024-5197
https://ubuntu.com/security/notices/USN-6814-1

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-5197

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2024-5197.html

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОСОН ОСнова Оnyx (2.11):
Обновление программного обеспечения libvpx до версии 1.7.0-3+deb10u3

Для ОС Astra Linux:
обновить пакет libvpx до 1.9.0-1+deb11u2+ci202406211626+astra3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет libvpx до 1.9.0-1+deb11u2+ci202406211626+astra3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Для ОС Astra Linux:
обновить пакет libvpx до 1.12.0-1+deb12u2+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MD

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2024-2495

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2739

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2998

Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2024:9827?lang=ru

Для ОС Astra Linux:
обновить пакет libvpx до 1.6.1-3+deb9u7+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16

Оценка CVSS
Балл7.1 — высокая опасность
Источники и патчи
https://issues.chromium.org/issues/332382766https://github.com/webmproject/libvpx/commit/c5640e3300690705c336966e2a8bb346a388c829https://github.com/webmproject/libvpx/commit/9d7054c0cb83665a74cf6f59b6261f455e692149https://github.com/webmproject/libvpx/commit/61c4d556bd03b97d84e3fa49180d14bde5a62baahttps://access.redhat.com/security/cve/CVE-2024-5197https://ubuntu.com/security/CVE-2024-5197https://ubuntu.com/security/notices/USN-6814-1https://security-tracker.debian.org/tracker/CVE-2024-5197
Проверьте безопасность своего сайта и почты → Полная проверка домена