ГлавнаяБаза уязвимостей БДУ → BDU:2024-06926
6.8высокая

BDU:2024-06926 (CVE-2021-3575)

Уязвимость компонента color.c функции sycc420_to_rgb библиотеки для кодирования и декодирования изображений OpenJPEG, связанная с записью за границами буфера, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Опубликовано: 2024-09-13
Описание

Уязвимость компонента color.c функции sycc420_to_rgb библиотеки для кодирования и декодирования изображений OpenJPEG связана с записью за границами буфера. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании с помощью специально созданного .j2k файла

Затрагиваемое ПО и версии
Debian GNU/Linux (11)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)АЛЬТ СП 10Astra Linux Special Edition (1.8)OpenJPEG (до 2.4.0 включительно)ОС Аврора (до 5.1.4 включительно)ОСОН ОСнова Оnyx (до 3.1)
Способ устранения

Для OpenJPEG:
использование рекомендаций производителя: https://github.com/uclouvain/openjpeg/commit/7bd884f8750892de4f50bf4642fcfbe7011c6bdf
Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-3575
Для ОС Astra Linux Special Edition 1.8:
обновить пакет openjpeg2 до 2.5.0-2.astra1+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2024-0905SE18MD

Для ОС Astra Linux:
обновить пакет openjpeg2 до 2.3.0-2+deb10u2+ci202408281529+astra4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17

Для ОС Astra Linux:
обновить пакет openjpeg2 до 2.3.0-2+deb10u2+ci202408281529+astra4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

Для ОС Аврора: https://cve.omp.ru/bb27514

Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Для ОСОН ОСнова Оnyx: Обновление программного обеспечения openjpeg2 до версии 2.5.0-2+deb12u2

Оценка CVSS
Балл6.8 — высокая опасность
Источники и патчи
https://bugzilla.redhat.com/show_bug.cgi?id=1957616https://github.com/uclouvain/openjpeg/commit/7bd884f8750892de4f50bf4642fcfbe7011c6bdfhttps://github.com/uclouvain/openjpeg/issues/1347https://nvd.nist.gov/vuln/detail/CVE-2021-3575https://security-tracker.debian.org/tracker/CVE-2021-3575https://ubuntu.com/security/CVE-2021-3575https://wiki.astralinux.ru/astra-linux-se18-bulletin-2024-0905SE18MDhttps://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17
Проверьте безопасность своего сайта и почты → Полная проверка домена