Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

BDU:2024-05027

CVSS: 6.7

19.04.2024

Уязвимость компонента showwaves_filter_frame (libavfilter/avf_showwaves.c) мультимедийной библиотеки FFmpeg, позволяющая нарушителю выполнить произвольный код

Уязвимость компонента showwaves_filter_frame (libavfilter/avf_showwaves.c) мультимедийной библиотеки FFmpeg связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код

Статус уязвимости:	Подтверждена производителем Уязвимость устранена
Дата выявления:	19.04.2024
Класс уязвимости:	Уязвимость кода
Наличие эксплойта:	Данные уточняются
Способ эксплуатации:	Нарушение аутентификации
Способ устранения:	Нет данных
Меры по устранению:	Использование рекомендаций: Для FFmpeg: https://trac.ffmpeg.org/ticket/10756 https://github.com/ffmpeg/FFmpeg/commit/08bd2cbfeb34717d60ec62bcbaeb7996206df906 Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2023-51797 Для Ubuntu: https://ubuntu.com/security/notices/USN-6803-1 Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/6G7EYH2JAK5OJPVNC6AXYQ5K7YGYNCDN/ https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/IPETICRXUOGRIM4U3BCRTIKE3IZWCSBT/ https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/LE3ASLH6QF2E5OVJI5VA3JSEPJFFFMNY/ Для Astra Linux Special Edition 4.7 для архитектуры ARM: использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE

Идентификатор	Описание
CWE-94	Некорректное управление генерированием кода (внедрение кода)

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
CVE-2023-51797	Buffer Overflow vulnerability in Ffmpeg v.N113007-g8d24a28d06 allows a local attacker to execute arbitrary code via the libav...

CVSS

Система общей оценки уязвимостей

Оценка	Severity	Версия	Базовый вектор
5.6	MEDIUM	2.0	AV:L/AC:H/Au:N/C:C/I:C/A:N
6.7	MEDIUM	3.0	AV:L/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N

Идентификаторы других систем описаний уязвимостей

CVE-2023-51797

Вендор:	Canonical Ltd. Сообщество свободного программного обеспечения ООО «РусБИТех-Астра» Fedora Project FFmpeg team
Тип ПО:	Операционная система Прикладное ПО информационных систем
Наименование ПО:	Ubuntu Debian GNU/Linux Astra Linux Special Edition Fedora FFmpeg
Версия ПО:	20.04 LTS (Ubuntu) 16.04 ESM (Ubuntu) 11 (Debian GNU/Linux) 12 (Debian GNU/Linux) 22.04 LTS (Ubuntu) 4.7 (Astra Linux Special Edition) 38 (Fedora) 39 (Fedora) 18.04 ESM (Ubuntu) 23.10 (Ubuntu) 40 (Fedora) 24.04 LTS (Ubuntu) до 7.0 (FFmpeg)
ОС и аппаратные платформы:	Ubuntu (20.04 LTS) Ubuntu (16.04 ESM) Debian GNU/Linux (11) Debian GNU/Linux (12) Ubuntu (22.04 LTS) Astra Linux Special Edition (4.7) Fedora (38) Fedora (39) Ubuntu (18.04 ESM) Ubuntu (23.10) Fedora (40) Ubuntu (24.04 LTS)
Ссылки на источники:	https://ffmpeg.org/ https://trac.ffmpeg.org/ticket/10756 https://github.com/FFmpeg/FFmpeg https://security-tracker.debian.org/tracker/CVE-2023-51797 https://ubuntu.com/security/notices/USN-6803-1 https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/6G7EYH2JAK5OJPVNC6AXYQ5... https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/IPETICRXUOGRIM4U3BCRTIK... https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/LE3ASLH6QF2E5OVJI5VA3JS... https://safe-surf.ru/upload/VULN-new/VULN.2024-05-13.1.pdf https://github.com/ffmpeg/FFmpeg/commit/08bd2cbfeb34717d60ec62bcbaeb7996206df906 https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.

Каталог уязвимостей - БДУ ФСТЭК - BDU:2024-05027