Идентификатор: BDU:2022-07176.
Наименование уязвимости: Уязвимость модуля VNC медиаплеера VLC, позволяющая нарушителю выполнить произвольный код в целевой системе.
Описание уязвимости: Уязвимость модуля VNC медиаплеера VLC связана с граничной ошибкой при воспроизведении вредоносного URL-адреса в модуле vnc. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обманом заставить жертву открыть специально созданный поток, вызвать повреждение памяти и выполнить произвольный код в целевой системе
Уязвимое ПО: Операционная система Debian GNU/Linux 11.0 | Операционная система ООО «Ред Софт» РЕД ОС 7.3 | Прикладное ПО информационных систем VideoLAN organization VLC Media Player до 3.0.17.4 включительно |
Наименование ОС и тип аппаратной платформы: Debian GNU/Linux 110 | РЕД ОС 73 |
Дата выявления: 06.12.2022.
CVSS 2.0: AV:L/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,2)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)
Возможные меры по устранению:
Использование рекомендаций:
Для VLC:
https://www.videolan.org/security/sb-vlc3018.html
Для Debian GNU/Linux:
https://www.debian.org/security/2022/dsa-5297
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-41325.
Тип ошибки CWE: CWE-190
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://www.videolan.org/security/sb-vlc3018.html
https://www.debian.org/security/2022/dsa-5297
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
https://www.synacktiv.com/sites/default/files/2022-11/vlc_vnc_int_overflow-CVE-2022-41325.pdf
