ГлавнаяБаза уязвимостей БДУ → BDU:2024-10890
4.9средняя

BDU:2024-10890 (CVE-2024-11498)

Уязвимость функции JxlEncoderAddJPEGFrame() декодера JPEG XL библиотеки Libjxl, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2024-12-09
Описание

Уязвимость функции JxlEncoderAddJPEGFrame() декодера JPEG XL библиотеки Libjxl связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
РЕД ОС (7.3)АЛЬТ СП 10Astra Linux Special Edition (1.8)Libjxl (от 0.7.0 до 0.7.2)Libjxl (0.11.0)Libjxl (от 0.10.0 до 0.10.4)Libjxl (от 0.9.0 до 0.9.4)Libjxl (до 0.8.4)РЕД ОС (8.0)ОСОН ОСнова Оnyx (до 3.1)
Способ устранения

Использование рекомендаций:
https://github.com/libjxl/libjxl/commit/9cc451b91b74ba470fd72bd48c121e9f33d24c99
https://github.com/libjxl/libjxl/compare/main...mo271:libjxl:changelog
https://github.com/libjxl/libjxl/releases
https://github.com/libjxl/libjxl/releases/tag/v0.7.2
https://github.com/libjxl/libjxl/releases/tag/v0.10.4
https://github.com/libjxl/libjxl/releases/tag/v0.9.4
https://github.com/libjxl/libjxl/releases/tag/v0.8.4
https://github.com/libjxl/libjxl/releases/tag/v0.11.1

Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Для ОС Astra Linux:
обновить пакет jpeg-xl до 0.7.0-10+deb12u1+ci2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-1113SE18

Для ОСОН ОСнова Оnyx: Обновление программного обеспечения jpeg-xl до версии 0.7.0-10+deb12u1

Для Ред ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti-red-os-8-0/uyazvimost-libsndfile-cve-2024-11403-8.0/?sphrase_id=1458925

Оценка CVSS
Балл4.9 — средняя опасность
Источники и патчи
https://github.com/libjxl/libjxl/pull/3871https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-libjxl-cve-2024-11498-cve-2024-11403/?sphrase_id=715701https://altsp.su/obnovleniya-bezopasnosti/https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-1113SE18https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/3.1/https://redos.red-soft.ru/support/secure/uyazvimosti-red-os-8-0/uyazvimost-libsndfile-cve-2024-11403-8.0/?sphrase_id=1458925
Проверьте безопасность своего сайта и почты → Полная проверка домена