Идентификатор: BDU:2023-00075.
Наименование уязвимости: Уязвимость функции composite_frame() библиотеки загрузки изображений GdkPixbuf, позволяющая нарушителю выполнить произвольный код.
Описание уязвимости: Уязвимость функции composite_frame() библиотеки загрузки изображений GdkPixbuf связана с переполнением буфера на основе кучи при обработке файлов формата GIF. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код
Уязвимое ПО: Операционная система Debian GNU/Linux 11 | Операционная система Fedora Project Fedora 35 | Операционная система ООО «Ред Софт» РЕД ОС 7.3 | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 | Прикладное ПО информационных систем The GNOME Project GdkPixbuf до 2.42.8 |
Наименование ОС и тип аппаратной платформы: Debian GNU/Linux 11 | Fedora 35 | РЕД ОС 73 | Astra Linux Special Edition 17 | Astra Linux Special Edition 47 ARM |
Дата выявления: 02.06.2021.
CVSS 2.0: AV:L/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,2)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)
Возможные меры по устранению:
Использование рекомендаций:
Для GdkPixbuf:
https://gitlab.gnome.org/GNOME/gdk-pixbuf/-/issues/190
https://gitlab.gnome.org/GNOME/gdk-pixbuf/-/commit/5398f04d772f7f8baf5265715696ed88db0f0512
https://gitlab.gnome.org/GNOME/gdk-pixbuf/-/commit/bca00032ad68d0b0aa2c1f7558db931e52bd9cd2
https://gitlab.gnome.org/GNOME/gdk-pixbuf/-/merge_requests/121
Для Ред ОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/M5IHHEYFD6GDZVALKIPPRD2U4JNZUZWR/
Для Debian:
https://www.debian.org/security/2022/dsa-5228
Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD
Для Astra Linux Special Edition для архитектуры ARM для 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2021-46829.
Тип ошибки CWE: CWE-122, CWE-787
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-gdkpixbuf-cve-2021-46829/?sphrase_id=108187
https://nvd.nist.gov/vuln/detail/CVE-2021-46829
http://www.openwall.com/lists/oss-security/2022/07/25/1
https://github.com/pedrib/PoC/blob/master/fuzzing/CVE-2021-46829/CVE-2021-46829.md
https://gitlab.gnome.org/GNOME/gdk-pixbuf/-/commit/5398f04d772f7f8baf5265715696ed88db0f0512
https://gitlab.gnome.org/GNOME/gdk-pixbuf/-/commit/bca00032ad68d0b0aa2c1f7558db931e52bd9cd2
https://gitlab.gnome.org/GNOME/gdk-pixbuf/-/issues/190
https://gitlab.gnome.org/GNOME/gdk-pixbuf/-/merge_requests/121
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/M5IHHEYFD6GDZVALKIPPRD2U4JNZUZWR/
https://www.debian.org/security/2022/dsa-5228
https://www.openwall.com/lists/oss-security/2022/07/23/1
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD
