Уязвимость BDU:2022-02388

Идентификатор: BDU:2022-02388.
Наименование уязвимости: Уязвимость функции load_cache графического редактора GIMP, позволяющая нарушителю передавать специальные данные приложению и выполнять произвольные команды ОС в целевой системе.
Описание уязвимости: Уязвимость функции load_cache графического редактора GIMP существует из-за непринятия мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, передавать специальные данные приложению и выполнять произвольные команды ОС в целевой системе
Уязвимое ПО: Операционная система Red Hat Inc. Red Hat Enterprise Linux 7 | Операционная система Red Hat Inc. Red Hat Enterprise Linux 8 | Операционная система Novell Inc. Suse Linux Enterprise Server 12 SP5 | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5 | Операционная система Novell Inc. Suse Linux Enterprise Desktop 12 SP5 | Операционная система Fedora Project Fedora 34 | Операционная система Fedora Project Fedora 35 | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 | Операционная система Novell Inc. Suse Linux Enterprise Server 15 SP3 | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP3 | Операционная система Novell Inc. Suse Linux Enterprise Desktop 15 SP3 | Операционная система Novell Inc. Suse Linux Enterprise Server 15 SP2 | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP2 | Операционная система АО «ИВК» Альт 8 СП — | Прикладное ПО информационных систем GNOME Foundation GNU Image Manipulation Program до 2.10.30 | Прикладное ПО информационных систем GNOME Foundation GEGL до 0.4.34 |
Наименование ОС и тип аппаратной платформы: Red Hat Enterprise Linux 7 | Red Hat Enterprise Linux 8 | Suse Linux Enterprise Server 12 SP5 | SUSE Linux Enterprise Server for SAP Applications 12 SP5 | Suse Linux Enterprise Desktop 12 SP5 | Fedora 34 | Fedora 35 | Astra Linux Special Edition 17 | Astra Linux Special Edition 47 | Suse Linux Enterprise Server 15 SP3 | SUSE Linux Enterprise Server for SAP Applications 15 SP3 | Suse Linux Enterprise Desktop 15 SP3 | Suse Linux Enterprise Server 15 SP2 | SUSE Linux Enterprise Server for SAP Applications 15 SP2 | Альт 8 СП — |
Дата выявления: 23.12.2021.
CVSS 2.0: AV:N/AC:M/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,3)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)
Возможные меры по устранению:
Использование рекомендаций:
Для GEGL:
https://gitlab.gnome.org/GNOME/gegl/-/issues/298
https://gitlab.gnome.org/GNOME/gegl/-/commit/bfce470f0f2f37968862129d5038b35429f2909b
Для GIMP:
https://gitlab.gnome.org/GNOME/gimp/-/commit/e8a31ba4f2ce7e6bc34882dc27c97fba993f5868
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2021-45463
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/CG635WJCNXHJM5U4BGMAAP4NK2YFTQXK/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ZP5NDNOTMPI335FXE7VUPW7FXYTT7PYN/
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2021-45463.html
Для Альт 8 СП:
https://altsp.su/obnovleniya-bezopasnosti/
Для ОС Astra Linux:
обновить пакет gegl до 0.4.12-2+ci202409031446+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17
Для ОС Astra Linux:
обновить пакет gegl до 0.4.12-2+ci202409031446+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2021-45463.
Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://nvd.nist.gov/vuln/detail/CVE-2021-45463
https://access.redhat.com/security/cve/cve-2021-45463https://access.redhat.com/security/cve/cve-2021-45463
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/CG635WJCNXHJM5U4BGMAAP4NK2YFTQXK/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ZP5NDNOTMPI335FXE7VUPW7FXYTT7PYN/
https://www.suse.com/security/cve/CVE-2021-45463.html
https://altsp.su/obnovleniya-bezopasnosti/
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE102



