ГлавнаяБаза уязвимостей БДУ → BDU:2024-10529
10критическая

BDU:2024-10529 (CVE-2022-3008)

Уязвимость функции wordexp() библиотеки tinygltf языка программирования C, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2024-12-02
Описание

Уязвимость функции wordexp() библиотеки tinygltf языка программирования C связана с непринятием мер по нейтрализации специальных элементов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путём отправки специально сформированных команд

Затрагиваемое ПО и версии
Debian GNU/Linux (11)Debian GNU/Linux (12)Ubuntu (22.04 LTS)tinygltf (до 2.6.0)
Способ устранения

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций:
Для библиотеки tinygltf:
https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=49053

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-3008

Для Ubuntu:
https://ubuntu.com/security/CVE-2022-3008

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=49053https://security-tracker.debian.org/tracker/CVE-2022-3008https://ubuntu.com/security/CVE-2022-3008https://github.com/syoyo/tinygltf/commit/52ff00a38447f06a17eab1caa2cf0730a119c751
Проверьте безопасность своего сайта и почты → Полная проверка домена