Bug 13511

Summary:	[CVE 21] dav1d 0.9.2 CVEs found
Product:	[ROSA-based products] ROSA Fresh	Reporter:	Yury <y.tumanov>
Component:	System (kernel, glibc, systemd, bash, PAM...)	Assignee:	ROSA Linux Bugs <bugs>
Status:	VERIFIED FIXED	QA Contact:	ROSA Linux Bugs <bugs>
Severity:	normal
Priority:	Normal	CC:	a.proklov, e.kosachev, pastordidi, s.matveev, v.potapov, victorr2007, y.tumanov
Version:	All	Flags:	v.potapov: qa_verified+ y.tumanov: secteam_verified+ a.proklov: published+
Target Milestone:	---
Hardware:	All
OS:	Linux
URL:	CVE-2023-32570,
Whiteboard:
Platform:	2021.1	ROSA Vulnerability identifier:
RPM Package:		ISO-related:
Bad POT generating:		Upstream:

Description Yury 2023-08-24 00:18:45 MSK

Please patch CVEs for package dav1d version 0.9.2
  
INFO (CVEs are): dav1d 0.9.2
 cves found
CVE-2023-32570
Desc: VideoLAN dav1d before 1.2.0 has a thread_task.c race condition that can lead to an application crash, related to dav1d_decode_frame_exit.
Link: https://nvd.nist.gov/vuln/detail/CVE-2023-32570
Severity: MEDIUM

Comment 1 VictorR2007 2023-10-19 13:05:07 MSK

Собрана новая версия 1.3.0

Сборки dav1d
https://abf.rosalinux.ru/build_lists/4758762
https://abf.rosalinux.ru/build_lists/4758763
https://abf.rosalinux.ru/build_lists/4758764
https://abf.rosalinux.ru/build_lists/4758765
https://abf.rosalinux.ru/build_lists/4758766

Начну пересобирать зависимые от него пакеты.
Потом дополню этот баг дополнительными сборками.

Comment 2 VictorR2007 2023-10-19 15:11:45 MSK

Вроде по зависимостям, нужно собрать только libheif.


Сборки dav1d
https://abf.rosalinux.ru/build_lists/4758762
https://abf.rosalinux.ru/build_lists/4758763
https://abf.rosalinux.ru/build_lists/4758764
https://abf.rosalinux.ru/build_lists/4758765
https://abf.rosalinux.ru/build_lists/4758766


Сборки libheif
https://abf.rosalinux.ru/build_lists/4758777
https://abf.rosalinux.ru/build_lists/4758783
https://abf.rosalinux.ru/build_lists/4758787
https://abf.rosalinux.ru/build_lists/4758798
https://abf.rosalinux.ru/build_lists/4758799

Comment 3 Yury 2023-10-19 22:52:14 MSK

secteam_verified

Comment 4 Dmitry Postnikov 2023-10-20 12:34:48 MSK

*** Bug 13701 has been marked as a duplicate of this bug. ***

Comment 5 Dmitry Postnikov 2023-10-31 13:03:53 MSK

*****************************
Обновление отослано в Тестинг

Comment 6 Vladimir Potapov 2023-11-01 16:58:27 MSK

dav1d-1.3.0-1
https://abf.rosalinux.ru/build_lists/4758762
https://abf.rosalinux.ru/build_lists/4758763
https://abf.rosalinux.ru/build_lists/4758764
https://abf.rosalinux.ru/build_lists/4758765
https://abf.rosalinux.ru/build_lists/4758766

libheif-1.12.0-3
https://abf.rosalinux.ru/build_lists/4758777
https://abf.rosalinux.ru/build_lists/4758783
https://abf.rosalinux.ru/build_lists/4758787
https://abf.rosalinux.ru/build_lists/4758798
https://abf.rosalinux.ru/build_lists/4758799
************************** Advisory ******************************
CVE-2023-32570
******************************************************************
QA Verified