Уязвимость BDU:2021-06033

Дата: 04.08.2021. Автор: ФСТЭК России. Категории: Уязвимости

Идентификатор: BDU:2021-06033.

Наименование уязвимости: Уязвимость функции dxfRW :: processLType () библиотеки libdfxfw системы автоматизированного проектирования работ LibreCad, позволяющая нарушителю выполнить произвольный код.

Описание уязвимости: Уязвимость функции dxfRW :: processLType () библиотеки libdfxfw системы автоматизированного проектирования работ LibreCad связанная с использованием после освобождения. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с помощью специально созданного вредоносного файла формата .dxf
Уязвимое ПО: Операционная система Debian GNU/Linux 9 | Операционная система Debian GNU/Linux 10 | Операционная система Fedora Project Fedora 34 | Операционная система Debian GNU/Linux 11 | Операционная система Fedora Project Fedora 35 | Прикладное ПО информационных систем LibreCad 2.2.0-rc2-19-ge02f3580 |

Наименование ОС и тип аппаратной платформы: Debian GNU/Linux 9 | Debian GNU/Linux 10 | Fedora 34 | Debian GNU/Linux 11 | Fedora 35 |
Дата выявления: 04.08.2021.
CVSS 2.0: AV:N/AC:M/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,3)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению:
Использование рекомендаций:
Для LibreCad:
https://talosintelligence.com/vulnerability_reports/TALOS-2021-1351
https://github.com/LibreCAD/libdxfrw/commit/fcd977cc7f8f6cc7f012e5b72d33cf7d77b3fa69

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2021-21900

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ZTIAMP7QJDKV4ADDLR4GVVX2TXYLHVOZ/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/RDI3HCTCACMIC7I4ILB3NRU6DCMADI5H/
.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2021-21900. TALOS-2021-1351.

Тип ошибки CWE: CWE-416
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://talosintelligence.com/vulnerability_reports/TALOS-2021-1351
https://github.com/LibreCAD/libdxfrw/commit/fcd977cc7f8f6cc7f012e5b72d33cf7d77b3fa69
https://security-tracker.debian.org/tracker/CVE-2021-21900
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ZTIAMP7QJDKV4ADDLR4GVVX2TXYLHVOZ/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/RDI3HCTCACMIC7I4ILB3NRU6DCMADI5H/

Об авторе ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Читать все записи автора ФСТЭК России

Добавить комментарий

Ваш адрес email не будет опубликован.