Bug 14171

Summary:	[CVE 21] audiofile 0.3.6 - fix CVE
Product:	[ROSA-based products] ROSA Fresh	Reporter:	Vladimir Potapov <v.potapov>
Component:	Packages from Main	Assignee:	ROSA Linux Bugs <bugs>
Status:	VERIFIED FIXED	QA Contact:	ROSA Linux Bugs <bugs>
Severity:	blocker
Priority:	Highest	CC:	a.proklov, victorr2007
Version:	All	Flags:	v.potapov: qa_verified+ victorr2007: secteam_verified? a.proklov: published+
Target Milestone:	---
Hardware:	All
OS:	Linux
Whiteboard:
Platform:	---	ROSA Vulnerability identifier:
RPM Package:		ISO-related:
Bad POT generating:		Upstream:

Description Vladimir Potapov 2023-12-22 11:15:03 MSK

https://nvd.nist.gov/vuln/detail/CVE-2020-18781 exploit!

Comment 1 Vladimir Potapov 2023-12-22 11:18:50 MSK

В дебиане исправили, см коммит внизу
https://security-tracker.debian.org/tracker/CVE-2020-18781

Comment 2 VictorR2007 2024-01-09 19:01:29 MSK

Этот баг был закрыт ранее.
Добавил в него патч, 
CVE-2020-18781-Always-check-the-number-of-coefficients.patch 
а при сборке увидел что уже есть патч
05_Always-check-the-number-of-coefficients.patch

Удаляю второй патч и пересобираю.

Comment 3 VictorR2007 2024-01-09 19:13:05 MSK

Пересобранные пакеты

Сборки
https://abf.rosalinux.ru/build_lists/4951912
https://abf.rosalinux.ru/build_lists/4951913
https://abf.rosalinux.ru/build_lists/4951914
https://abf.rosalinux.ru/build_lists/4951915
https://abf.rosalinux.ru/build_lists/4951916

Comment 4 Vladimir Potapov 2024-01-10 05:33:40 MSK

Надо где-то в спеке или патче указать, что исправлен CVE-2020-18781

Лучше всего назвать так патч - CVE-2020-18781.patch, так проще всего его находят проверяющие

Comment 5 VictorR2007 2024-01-10 09:56:23 MSK

(In reply to Vladimir Potapov from comment #4)
> Надо где-то в спеке или патче указать, что исправлен CVE-2020-18781
> 
> Лучше всего назвать так патч - CVE-2020-18781.patch, так проще всего его
> находят проверяющие

Назвал же как
CVE-2020-18781-Always-check-the-number-of-coefficients.patch

Comment 6 VictorR2007 2024-01-10 11:07:37 MSK

Сборки 2021.1
https://abf.rosalinux.ru/build_lists/4951912
https://abf.rosalinux.ru/build_lists/4951913
https://abf.rosalinux.ru/build_lists/4951914
https://abf.rosalinux.ru/build_lists/4951915
https://abf.rosalinux.ru/build_lists/4951916



Сборки 2021.15
https://abf.rosalinux.ru/build_lists/4952117
https://abf.rosalinux.ru/build_lists/4952118
https://abf.rosalinux.ru/build_lists/4952119

Comment 7 Vladimir Potapov 2024-01-13 10:30:59 MSK

*************************************
The update sent to testings

Comment 8 Vladimir Potapov 2024-01-23 10:41:30 MSK

audiofile-0.3.6-16
https://abf.rosalinux.ru/build_lists/4951912
https://abf.rosalinux.ru/build_lists/4951913
https://abf.rosalinux.ru/build_lists/4951914
https://abf.rosalinux.ru/build_lists/4951915
https://abf.rosalinux.ru/build_lists/4951916
********************************** Advisory ******************************
refactoring for patch view
**************************************************************************
QA Verified