Уязвимость BDU:2018-01561

Идентификатор: BDU:2018-01561.

Наименование уязвимости: Уязвимость метода EXTRACTOR_zip_extract_method() библиотеки GNU Libextractor, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации.

Описание уязвимости: Уязвимость метода EXTRACTOR_zip_extract_method() (zip_extractor.c) библиотеки GNU Libextractor связана с чтением за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
Уязвимое ПО: Прикладное ПО информационных систем The GNU Project GNU Libextractor до 1.7 включительно | Операционная система Debian GNU/Linux до 1.3-2+deb8u1 (jessie) | Операционная система Debian GNU/Linux до 1.3-2+deb8u3 (jessie (security)) | Операционная система Debian GNU/Linux до 1.3-4+deb9u2 (stretch (security)) | Операционная система Debian GNU/Linux до 1:1.8-1 (buster) | Операционная система Debian GNU/Linux до 1.8-1 (sid) |

Наименование ОС и тип аппаратной платформы: Linux — |
Дата выявления: 20.07.2018.
CVSS 2.0: AV:N/AC:M/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,3)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению:
Обновление утилиты GNU Libextractor до версии 1.8 или новее.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2018-16430.
Прочая информация: —
Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
http://www.securityfocus.com/bid/105254
https://gnunet.org/bugs/view.php?id=5405
https://gnunet.org/git/libextractor.git/commit/?id=24c8d489797499c0331f4d1039e357ece1ae98a7
https://lists.debian.org/debian-lts-announce/2018/09/msg00011.html
https://www.debian.org/security/2018/dsa-4290