Уязвимость BDU:2022-02280

Идентификатор: BDU:2022-02280.

Наименование уязвимости: Уязвимость функции guess_file_type() библиотеки для чтения и записи аудиофайлов libsndfile, позволяющая нарушителю выполнить произвольный код в целевой системе.

Описание уязвимости: Уязвимость функции guess_file_type() библиотеки для чтения и записи аудиофайлов libsndfile связана с переполнением буфера в стеке. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать переполнение буфера стека и выполнить произвольный код в целевой системе
Уязвимое ПО: Операционная система ООО «Ред Софт» РЕД ОС 7.3 | Операционная система ФССП России ОС ТД АИС ФССП России ИК6 | Прикладное ПО информационных систем libsndfile от 0.0.8 до 1.0.31 включительно | Операционная система ООО «Открытая мобильная платформа» ОС Аврора до 5.1.4 включительно |

Наименование ОС и тип аппаратной платформы: РЕД ОС 73 | ОС ТД АИС ФССП России ИК6 | ОС Аврора до 514 включительно |
Дата выявления: 28.03.2022.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению:
Использование рекомендаций:
Для libsndfile:
http://github.com/libsndfile/libsndfile/releases/tag/1.1.0

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/

Для ОС Аврора: https://cve.omp.ru/bb27514.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости:

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
http://github.com/libsndfile/libsndfile/releases/tag/1.1.0
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
http://bugs.chromium.org/p/oss-fuzz/issues/detail?id=29339
https://goslinux.fssp.gov.ru/2726972/
https://cve.omp.ru/bb27514