Bug 14245

Summary:	[CVE 21] wavpack 5.3.0 CVE
Product:	[ROSA-based products] ROSA Fresh	Reporter:	Vladimir Potapov <v.potapov>
Component:	Packages from Main	Assignee:	ROSA Linux Bugs <bugs>
Status:	VERIFIED FIXED	QA Contact:	ROSA Linux Bugs <bugs>
Severity:	blocker
Priority:	Highest	CC:	a.proklov, i.gaptrakhmanov, pastordidi
Version:	All	Flags:	v.potapov: qa_verified+ v.potapov: secteam_verified? a.proklov: published+
Target Milestone:	---
Hardware:	All
OS:	Linux
URL:	CVE-2020-35738
Whiteboard:
Platform:	---	ROSA Vulnerability identifier:
RPM Package:		ISO-related:
Bad POT generating:		Upstream:

Description Vladimir Potapov 2024-01-12 16:52:57 MSK

https://nvd.nist.gov/vuln/detail/CVE-2020-35738#match-9889330 Exploit!

Comment 1 ilfat 2024-01-14 15:45:34 MSK

******** QA ADVISORY ********

CVE closed by patches

wavpack-5.3.0-3

Тесты для e2kv4 и riscv64 не прошли, так как в их репозиториях версия 5.4.0

# rosa2021.1
https://abf.rosalinux.ru/build_lists/4955246 i686
https://abf.rosalinux.ru/build_lists/4955247 x86_64
https://abf.rosalinux.ru/build_lists/4955248 aarch64
https://abf.rosalinux.ru/build_lists/4955249 riscv64
https://abf.rosalinux.ru/build_lists/4955250 e2kv4

# rosa2021.15
https://abf.rosalinux.ru/build_lists/4955259 i686
https://abf.rosalinux.ru/build_lists/4955260 x86_64
https://abf.rosalinux.ru/build_lists/4955261 aarch64
https://abf.rosalinux.ru/build_lists/4955262 e2kv4

Comment 2 Dmitry Postnikov 2024-01-16 11:49:57 MSK

*****************************
Обновление отослано в Тестинг

Опубликованно в 2021.15

Comment 3 Vladimir Potapov 2024-01-16 11:54:44 MSK

Там в проекте три патча
https://abf.rosalinux.ru/import/wavpack/blob/rosa2021.15/CVE-2020-35738.patch
https://abf.rosalinux.ru/import/wavpack/blob/rosa2021.15/CVE-2020-35738-1.patch
https://abf.rosalinux.ru/import/wavpack/blob/rosa2021.15/CVE-2020-35738-2.patch
а в спеке подключены только два
https://abf.rosalinux.ru/import/wavpack/blob/rosa2021.15/wavpack.spec#lc-13
https://abf.rosalinux.ru/import/wavpack/blob/rosa2021.15/wavpack.spec#lc-14

Один патч лишний?

Comment 4 Aleksandr Proklov 2024-01-16 12:02:37 MSK

CVE-2020-35738.patch лишний совпадает с CVE-2020-35738-1.patch

Comment 5 Vladimir Potapov 2024-01-24 09:20:52 MSK

wavpack-5.3.0-3
https://abf.rosalinux.ru/build_lists/4955246 i686
https://abf.rosalinux.ru/build_lists/4955247 x86_64
https://abf.rosalinux.ru/build_lists/4955248 aarch64
https://abf.rosalinux.ru/build_lists/4955249 riscv64
https://abf.rosalinux.ru/build_lists/4955250 e2kv4
**************************** Advisory **************************
CVE closed by patches
****************************************************************
QA Verified