Уязвимость BDU:2018-00532

Идентификатор: BDU:2018-00532.
Наименование уязвимости: Уязвимость функции ReadDDSInfo консольного графического редактора ImageMagick, позволяющая нарушителю вызвать отказ в обслуживании.
Описание уязвимости: Уязвимость функции ReadDDSInfo (coders/dds.c) консольного графического редактора ImageMagick связана с неконтролируемым расходом ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании
Уязвимое ПО: Операционная система Debian GNU/Linux 9 | Прикладное ПО информационных систем ImageMagick Studio LLC ImageMagick 7.0.7-12 Q16 | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» | Операционная система Debian GNU/Linux 8.0 | Операционная система ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл» | Операционная система Debian GNU/Linux 10 | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград» | Операционная система АО «Концерн ВНИИНС» ОС ОН «Стрелец» 1.0 | Операционная система АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023 |
Наименование ОС и тип аппаратной платформы: Debian GNU/Linux 9 | Astra Linux Special Edition 16 «Смоленск» | Debian GNU/Linux 80 | Astra Linux Common Edition 212 «Орёл» | Debian GNU/Linux 10 | Astra Linux Special Edition для «Эльбрус» 81 «Ленинград» | ОС ОН «Стрелец» до 16012023 |
Дата выявления: 17.11.2017.
CVSS 2.0: AV:N/AC:M/Au:N/C:N/I:N/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)
Возможные меры по устранению:
Для ImageMagick:
использование рекомендаций производителя: https://github.com/ImageMagick/ImageMagick/issues/867
Для ОС Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2017-1000476
Для ОС Astra Linux:
использование рекомендаций производителя:
https://wiki.astralinux.ru/pages/viewpage.action?pageId=47416144
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
Для ОС ОН «Стрелец»:
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
Для ОС ОН «Стрелец»:
Обновление программного обеспечения imagemagick до версии 8:6.9.7.4+dfsg-11+deb9u14
Для ОС Astra Linux 1.6 «Смоленск»:
обновить пакет imagemagick до 8:6.9.7.4+dfsg-11+deb9u12 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2017-1000476. BID ID:102428.
Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
http://www.securityfocus.com/bid/102428
https://github.com/ImageMagick/ImageMagick/commit/9da3b39525982ad98f7e8f5e8183b9c613927e61
https://github.com/ImageMagick/ImageMagick/commit/f685e1e0afdea91da020ada3fade22621dd459eb
https://github.com/ImageMagick/ImageMagick/issues/867
https://lists.debian.org/debian-lts.announce/2018/01/msg00002.html
https://nvd.nist.gov/vuln/detail/CVE-2017-1000476
https://security-tracker.debian.org/tracker/CVE-2017-1000476
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
https://wiki.astralinux.ru/pages/viewpage.action?pageId=47416144
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16



