Уязвимость BDU:2022-02069: Информация
Описание
Уязвимость функции heif::Box_iref::get_references библиотеки кодирования и декодирования файлов HEIF и AVIF Libheif, связанная с чтением за допустимыми границами буфера данных, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Важность: HIGH (8,8) Вектор: AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Исправленные пакеты
Имя пакета | Ветка | Исправлено в версии | Версия в репозитории | Errata ID | № Задания | Состояние |
|---|---|---|---|---|---|---|
| libheif | sisyphus | 1.5.1-alt1 | 1.17.6-alt1 | ALT-PU-2019-3135-1 | 240789 | Исправлено |
| libheif | p10 | 1.5.1-alt1 | 1.17.6-alt1 | ALT-PU-2019-3135-1 | 240789 | Исправлено |
| libheif | p9 | 1.6.2-alt1 | 1.6.2-alt1 | ALT-PU-2020-1404-1 | 244301 | Исправлено |
| libheif | c10f1 | 1.5.1-alt1 | 1.17.6-alt1 | ALT-PU-2019-3135-1 | 240789 | Исправлено |
| libheif | c9f2 | 1.6.2-alt1 | 1.17.6-alt1 | ALT-PU-2020-1404-1 | 244301 | Исправлено |
Ссылки на рекомендации, решения и инструменты
| Статус уязвимости | Подтверждена производителем |
| Наличие эксплойта | Существует в открытом доступе |
| Информация об устранении | Уязвимость устранена |
| Тип ПО | Прикладное ПО информационных систем, Операционная система |
| Решение | Для Libheif: использование рекомендаций производителя: https://github.com/strukturag/libheif/commit/f7399b62d7fbc596f1b2871578c1d2053bedf1dd Для Debian: использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2020-19499 |
| Источники | https://github.com/strukturag/libheif/commit/f7399b62d7fbc596f1b2871578c1d2053bedf1dd https://github.com/strukturag/libheif/issues/138 https://nvd.nist.gov/vuln/detail/CVE-2020-19499 https://security-tracker.debian.org/tracker/CVE-2020-19499 |
| Идентификаторы других систем |