СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Уязвимости
ФСТЭК России
18.05.2016

Уязвимость BDU:2022-04623

Уязвимость BDU:2022-04623

Идентификатор: BDU:2022-04623.

Наименование уязвимости: Уязвимость функции clntudp_call (sunrpc/clnt_udp.c) в библиотеке GNU C (glibc или libc6), связанная с записью за границами буфера в памяти, позволяющая нарушителю вводить и выполнять произвольные команды или вызвать отказ в обслуживании.

Описание уязвимости: Уязвимость функции clntudp_call (sunrpc/clnt_udp.c) в библиотеке GNU C (glibc или libc6) связана с записью за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вводить и выполнять произвольные команды или вызвать отказ в обслуживании с помощью специально сформированных UDP и ICMP-пакетов
Уязвимое ПО: Операционная система Novell Inc. openSUSE 13.2 | Операционная система Canonical Ltd. Ubuntu 12.04 LTS | Операционная система Canonical Ltd. Ubuntu 14.04 LTS | Операционная система Canonical Ltd. Ubuntu 16.04 LTS | Операционная система Novell Inc. OpenSUSE Leap 42.1 | Операционная система Canonical Ltd. Ubuntu 18.04 LTS | Операционная система Debian GNU/Linux 8 | Прикладное ПО информационных систем The GNU Project glibc до 2.24 | ПО сетевого программно-аппаратного средства Oracle Corp. Fujitsu M10-1 до XCP2400 | ПО сетевого программно-аппаратного средства Oracle Corp. Fujitsu M10-1 до XCP3100 | ПО сетевого программно-аппаратного средства Oracle Corp. Fujitsu M10-4 до XCP3100 | ПО сетевого программно-аппаратного средства Oracle Corp. Fujitsu M10-4 до XCP2400 | ПО сетевого программно-аппаратного средства Oracle Corp. Fujitsu M10-4S до XCP2400 | ПО сетевого программно-аппаратного средства Oracle Corp. Fujitsu M10-4S до XCP3100 | ПО сетевого программно-аппаратного средства Oracle Corp. Fujitsu M12-1 до XCP3100 | ПО сетевого программно-аппаратного средства Oracle Corp. Fujitsu M12-1 до XCP2400 | ПО сетевого программно-аппаратного средства Oracle Corp. Fujitsu M12-2 до XCP2400 | ПО сетевого программно-аппаратного средства Oracle Corp. Fujitsu M12-2 до XCP3100 | ПО сетевого программно-аппаратного средства Oracle Corp. Fujitsu M12-2S до XCP3100 | ПО сетевого программно-аппаратного средства Oracle Corp. Fujitsu M12-2S до XCP2400 | Прикладное ПО информационных систем IBM Corp. Flex System Manager 1.3.4.0 | Прикладное ПО информационных систем IBM Corp. Flex System Manager 1.3.3.0 | Прикладное ПО информационных систем IBM Corp. Flex System Manager 1.3.2.1 | Прикладное ПО информационных систем IBM Corp. Flex System Manager 1.3.2.0 | Операционная система АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023 |

Наименование ОС и тип аппаратной платформы: openSUSE 132 | Ubuntu 1204 LTS | Ubuntu 1404 LTS | Ubuntu 1604 LTS | OpenSUSE Leap 421 | Ubuntu 1804 LTS | Debian GNU/Linux 8 | ОС ОН «Стрелец» до 16012023 |
Дата выявления: 18.05.2016.
CVSS 2.0: AV:N/AC:H/Au:N/C:N/I:N/A:C
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,9)

Возможные меры по устранению:
Использование рекомендаций:
Для glibc:
https://sourceware.org/git/gitweb.cgi?p=glibc.git;h=bc779a1a5b3035133024b21e2f339fe4219fb11c
https://sourceware.org/bugzilla/show_bug.cgi?id=20112

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2020/06/msg00027.html

Для Ubuntu:
https://usn.ubuntu.com/3759-1/
https://usn.ubuntu.com/3759-2/

Для программных продуктов Novell Inc.:
http://lists.opensuse.org/opensuse-updates/2016-06/msg00030.html
http://lists.opensuse.org/opensuse-updates/2016-07/msg00039.html

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujul2021.html

Для ОС ОН «Стрелец»:
Обновление программного обеспечения libtirpc до версии 1.1.4-0.4.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2016-4429.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://nvd.nist.gov/vuln/detail/CVE-2016-4429
https://vuldb.com/sv/?id.179256
http://lists.opensuse.org/opensuse-updates/2016-06/msg00030.html
http://lists.opensuse.org/opensuse-updates/2016-07/msg00039.html
http://www-01.ibm.com/support/docview.wss?uid=swg21995039
http://www.securityfocus.com/bid/102073
https://lists.debian.org/debian-lts-announce/2020/06/msg00027.html
https://source.android.com/security/bulletin/2017-12-01
https://sourceware.org/bugzilla/show_bug.cgi?id=20112
https://sourceware.org/git/gitweb.cgi?p=glibc.git;h=bc779a1a5b3035133024b21e2f339fe4219fb11c
https://usn.ubuntu.com/3759-1/
https://usn.ubuntu.com/3759-2/
https://www.oracle.com//security-alerts/cpujul2021.html
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: