Уязвимость BDU:2021-01144

Идентификатор: BDU:2021-01144.

Наименование уязвимости: Уязвимость функции p_print_image() (devices/gdevcdj.c) набора программного обеспечения для обработки, преобразования и генерации документов Ghostscript, позволяющая нарушителю вызвать отказ в обслуживании.

Описание уязвимости: Уязвимость функции p_print_image() (devices/gdevcdj.c) набора программного обеспечения для обработки, преобразования и генерации документов Ghostscript связана с записью за границами буфера. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Уязвимое ПО: Операционная система Canonical Ltd. Ubuntu 16.04 LTS | Операционная система Debian GNU/Linux 9 | Операционная система Canonical Ltd. Ubuntu 18.04 LTS | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» | Операционная система Debian GNU/Linux 8.0 | Операционная система Debian GNU/Linux 10 | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград» | Операционная система Canonical Ltd. Ubuntu 20.10 LTS | Прикладное ПО информационных систем Artifex Software Inc. Ghostscript 9.50 | Операционная система АО «Концерн ВНИИНС» ОС ОН «Стрелец» 1.0 | Операционная система АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023 |

Наименование ОС и тип аппаратной платформы: Ubuntu 1604 LTS 32-bit | Ubuntu 1604 LTS | Debian GNU/Linux 9 | Ubuntu 1804 LTS | Astra Linux Special Edition 16 «Смоленск» | Debian GNU/Linux 80 | Debian GNU/Linux 10 | Astra Linux Special Edition для «Эльбрус» 81 «Ленинград» | Ubuntu 2010 LTS | ОС ОН «Стрелец» 10 | ОС ОН «Стрелец» до 16012023 |
Дата выявления: 13.08.2020.
CVSS 2.0: AV:N/AC:M/Au:N/C:N/I:N/A:P
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3)
Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 3,7)

Возможные меры по устранению:
Использование рекомендаций:
Для Ghostscript:
http://git.ghostscript.com/?p=ghostpdl.git;a=commitdiff;h=af004276fd8f6c305727183c159b83021020f7d6

Для Ubuntu:
https://ubuntu.com/security/CVE-2020-16308

Для Debian:
https://security-tracker.debian.org/tracker/CVE-2020-16308

Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81

Для ОС ОН «Стрелец»:
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie

Для ОС ОН «Стрелец»:
Обновление программного обеспечения ghostscript до версии 9.26a~dfsg-0+deb9u9.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2020-16308.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
http://git.ghostscript.com/?p=ghostpdl.git;a=commitdiff;h=af004276fd8f6c305727183c159b83021020f7d6
https://bugs.ghostscript.com/show_bug.cgi?id=701829
https://git.ghostscript.com/?p=ghostpdl.git;a=commitdiff;h=af004276fd8f6c305727183c159b83021020f7d6
https://lists.debian.org/debian-lts-announce/2020/08/msg00032.html
https://nvd.nist.gov/vuln/detail/CVE-2020-16308
https://security-tracker.debian.org/tracker/CVE-2020-16308
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
https://support2.windriver.com/index.php?page=defects&on=view&id=LIN1019-5230
https://ubuntu.com/security/CVE-2020-16308
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
https://www.debian.org/security/2020/dsa-4748
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023