Идентификатор: BDU:2022-02300.
Наименование уязвимости: Уязвимость функции copyPredictorTo24() библиотеки для чтения и записи аудиофайлов libsndfile, позволяющая нарушителю выполнить произвольный код в целевой системе.
Описание уязвимости: Уязвимость функции copyPredictorTo24() библиотеки для чтения и записи аудиофайлов libsndfile связана с переполнением буфера в динамической памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код в целевой системе
Уязвимое ПО: Операционная система ООО «Ред Софт» РЕД ОС 7.3 | Прикладное ПО информационных систем libsndfile от 0.0.8 до 1.0.31 включительно |
Наименование ОС и тип аппаратной платформы: РЕД ОС 73 |
Дата выявления: 28.03.2022.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению:
Использование рекомендаций:
Для libsndfile:
http://github.com/libsndfile/libsndfile/releases/tag/1.1.0
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости:
Тип ошибки CWE: CWE-122
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
http://github.com/libsndfile/libsndfile/releases/tag/1.1.0
http://bugs.chromium.org/p/oss-fuzz/issues/detail?id=27503
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
