СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Уязвимости
ФСТЭК России
22.09.2016
#Dev#ИБ

Уязвимость BDU:2017-02383

Уязвимость BDU:2017-02383

Идентификатор: BDU:2017-02383.

Наименование уязвимости: Уязвимость функции inflateMark библиотеки zlib, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации.

Описание уязвимости: Уязвимость функции inflateMark (inflate.c) библиотеки zlib вызвана ошибкой обработки отрицательных чисел. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать неопределённое поведение программы, что может привести к нарушению конфиденциальности, целостности и доступности защищаемой информации
Уязвимое ПО: Операционная система Novell Inc. openSUSE 13.2 | Прикладное ПО информационных систем Жан-Лу Гайи, Марк Адлер zlib 1.2.8 | Операционная система Novell Inc. OpenSUSE Leap 42.2 | Операционная система IBM Corp. IBM Vios 2.2.0.0 | Операционная система IBM Corp. IBM Vios 2.2.1.0 | Операционная система IBM Corp. IBM Vios 2.2.1.1 | Операционная система IBM Corp. IBM Vios 2.2.1.3 | Операционная система IBM Corp. IBM Vios 2.2.1 4 | Операционная система IBM Corp. IBM Vios 2.2.1.8 | Операционная система IBM Corp. IBM Vios 2.2.1.9 | Операционная система IBM Corp. IBM Vios 2.2.2.0 | Операционная система IBM Corp. IBM Vios 2.2.2.4 | Операционная система IBM Corp. IBM Vios 2.2.2.5 | Операционная система IBM Corp. IBM Vios 2.2.2.6 | Операционная система IBM Corp. IBM Vios 2.2.3.0 | Операционная система IBM Corp. IBM Vios 2.2.3.2 | Операционная система IBM Corp. IBM Vios 2.2.3.3 | Операционная система IBM Corp. IBM Vios 2.2.3.4 | Операционная система IBM Corp. IBM Vios 2.2.3.50 | Операционная система IBM Corp. IBM Vios 2.2.4.0 | Операционная система IBM Corp. IBM Java SDK 8 SR 4 FP 2 | Операционная система IBM Corp. IBM Java SDK 7R1 SR 4 FP 1 | Операционная система IBM Corp. IBM Java SDK 7 SR 10 FP 1 | Операционная система IBM Corp. IBM Java SDK 6R1 SR 8 FP 7 | Операционная система IBM Corp. IBM Java SDK 6R1 SR 8 FP 5 | Операционная система IBM Corp. IBM Java SDK 6R1 SR 8 FP 30 | Операционная система IBM Corp. IBM Java SDK 6R1 SR 8 FP 26 | Операционная система IBM Corp. IBM Java SDK 6R1 SR 8 FP 25 | Операционная система IBM Corp. IBM Java SDK 6R1 SR 8 FP 21 | Операционная система IBM Corp. IBM Java SDK 6R1 SR 8 FP 15 | Операционная система IBM Corp. IBM Java SDK 6 SR 16 FP 7 | Операционная система IBM Corp. IBM Java SDK 6 SR 16 FP 5 | Операционная система IBM Corp. IBM Java SDK 6 SR 16 FP 41 | Операционная система IBM Corp. IBM Java SDK 6 SR 16 FP 30 | Операционная система IBM Corp. IBM Java SDK 6 SR 16 FP 26 | Операционная система IBM Corp. IBM Java SDK 6 SR 16 FP 25 | Операционная система IBM Corp. IBM Java SDK 6 SR 16 FP 22 | Операционная система IBM Corp. IBM Java SDK 6 SR 16 FP 15 | Операционная система Novell Inc. OpenSUSE Leap 42.1 | Операционная система Red Hat Inc. Red Hat Enterprise Linux Workstation Supplementary 7 | Операционная система Red Hat Inc. Red Hat Enterprise Linux Workstation Supplementary 6 | Операционная система Red Hat Inc. Red Hat Enterprise Linux Server Supplementary 7 | Операционная система Red Hat Inc. Red Hat Enterprise Linux Server Supplementary 6 | Операционная система Red Hat Inc. Red Hat Enterprise Linux HPC Node Supplementary 6 | Операционная система Red Hat Inc. Red Hat Enterprise Linux Desktop Supplementary 6 | Операционная система Red Hat Inc. Red Hat Enterprise Linux ComputeNode Supplementary 7 | Операционная система IBM Corp. IBM i 6.1 | Операционная система IBM Corp. IBM i 7.1 | Операционная система IBM Corp. IBM i 7.2 | Операционная система IBM Corp. IBM i 7.3 | Операционная система IBM Corp. IBM Aix 5.3 | Операционная система IBM Corp. IBM Aix 6.1 | Операционная система IBM Corp. IBM Aix 7.1 | Операционная система IBM Corp. IBM Aix 7.2 | Операционная система Canonical Ltd. Ubuntu 18.04 LTS | Операционная система Apple Inc. Mac OS до High Sierra 10.13 | СУБД Oracle Corp. Database Server 18c | Операционная система Debian GNU/Linux 8 | Микропрограммный код Huawei Technologies Co., Ltd. Huawei Mate 9 Pro EMUI5.0 | Операционная система Apple Inc. iOS до 11.0 | Операционная система Canonical Ltd. Ubuntu 16.04 ESM | Прикладное ПО информационных систем Oracle Corp. Java SE 6u161 | Прикладное ПО информационных систем Oracle Corp. Java SE 7u151 | Прикладное ПО информационных систем Oracle Corp. Java SE 8u144 | ПО виртуализации/ПО виртуального программно-аппаратного средства Oracle Corp. Java SE Embedded 8u144 | СУБД Oracle Corp. MySQL Server до 5.5.61 включительно | СУБД Oracle Corp. MySQL Server от 5.6.0 до 5.6.41 включительно | СУБД Oracle Corp. MySQL Server от 5.7.0 до 5.7.23 включительно | СУБД Oracle Corp. MySQL Server от 8.0.0 до 8.0.12 включительно | Операционная система Apple Inc. watchOS до 4 | Операционная система Apple Inc. tvOS до 11 | Операционная система АО «НППКТ» ОСОН ОСнова Оnyx до 2.6 |

Наименование ОС и тип аппаратной платформы: openSUSE 132 | OpenSUSE Leap 422 | IBM Vios 2200 | IBM Vios 2210 | IBM Vios 2211 | IBM Vios 2213 | IBM Vios 221 4 | IBM Vios 2218 | IBM Vios 2219 | IBM Vios 2220 | IBM Vios 2224 | IBM Vios 2225 | IBM Vios 2226 | IBM Vios 2230 | IBM Vios 2232 | IBM Vios 2233 | IBM Vios 2234 | IBM Vios 22350 | IBM Vios 2240 | IBM Java SDK 8 SR 4 FP 2 | IBM Java SDK 7R1 SR 4 FP 1 | IBM Java SDK 7 SR 10 FP 1 | IBM Java SDK 6R1 SR 8 FP 7 | IBM Java SDK 6R1 SR 8 FP 5 | IBM Java SDK 6R1 SR 8 FP 30 | IBM Java SDK 6R1 SR 8 FP 26 | IBM Java SDK 6R1 SR 8 FP 25 | IBM Java SDK 6R1 SR 8 FP 21 | IBM Java SDK 6R1 SR 8 FP 15 | IBM Java SDK 6 SR 16 FP 7 | IBM Java SDK 6 SR 16 FP 5 | IBM Java SDK 6 SR 16 FP 41 | IBM Java SDK 6 SR 16 FP 30 | IBM Java SDK 6 SR 16 FP 26 | IBM Java SDK 6 SR 16 FP 25 | IBM Java SDK 6 SR 16 FP 22 | IBM Java SDK 6 SR 16 FP 15 | OpenSUSE Leap 421 | Red Hat Enterprise Linux Workstation Supplementary 7 | Red Hat Enterprise Linux Workstation Supplementary 6 | Red Hat Enterprise Linux Server Supplementary 7 | Red Hat Enterprise Linux Server Supplementary 6 | Red Hat Enterprise Linux HPC Node Supplementary 6 | Red Hat Enterprise Linux Desktop Supplementary 6 | Red Hat Enterprise Linux ComputeNode Supplementary 7 | IBM i 61 | IBM i 71 | IBM i 72 | IBM i 73 | IBM Aix 53 | IBM Aix 61 | IBM Aix 71 | IBM Aix 72 | Ubuntu 1804 LTS | Mac OS до High Sierra 1013 | Debian GNU/Linux 8 | iOS до 110 | Ubuntu 1604 ESM | watchOS до 4 | tvOS до 11 | ОСОН ОСнова Оnyx до 26 |
Дата выявления: 22.09.2016.
CVSS 2.0: AV:N/AC:M/Au:N/C:P/I:P/A:P
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению:
Использование рекомендаций:
https://github.com/madler/zlib/commit/e54e1299404101a5a9d0cf5e45512b543967f958

Для Huawei Mate 9 Pro:
Обновление программного обеспечения до версии EMUI9.1.0 и выше

Для Ubuntu:
https://ubuntu.com/security/notices/USN-4292-1
https://ubuntu.com/security/notices/USN-4246-1

Для продуктов Oracle:
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpuoct2017.html
https://www.oracle.com/security-alerts/cpuoct2018.html

Для продуктов Apple:
https://support.apple.com/ru-ru/HT208144
https://support.apple.com/ru-ru/HT208115
https://support.apple.com/ru-ru/HT208113
https://support.apple.com/ru-ru/HT208112

Для Debian:
https://lists.debian.org/debian-lts-announce/2019/03/msg00027.html
https://lists.debian.org/debian-lts-announce/2020/01/msg00030.html

Для продуктов Novell Inc.:
https://lists.opensuse.org/archives/list/updates@lists.opensuse.org/message/MRDJW3XPN3FW5WF3DYT3WFOMUPP6KZBF/
https://lists.opensuse.org/archives/list/updates@lists.opensuse.org/message/OMSIGJVQEP2NTF5TWWHTMFKCQAJECWL4/
https://lists.opensuse.org/archives/list/updates@lists.opensuse.org/message/BZLCLEULOCMWPTCCKHV4XUTP4TXOHF66/

Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2016-9842

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения rsync до версии 3.2.6-1.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2016-9842.
Прочая информация:
Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
http://lists.opensuse.org/opensuse-updates/2016-12/msg00127.html
http://lists.opensuse.org/opensuse-updates/2017-01/msg00050.html
http://lists.opensuse.org/opensuse-updates/2017-01/msg00053.html
http://www.openwall.com/lists/oss-security/2016/12/05/21
http://www.securityfocus.com/bid/95131
http://www.securitytracker.com/id/1039427
https://bugzilla.redhat.com/show_bug.cgi?id=1402348
https://github.com/madler/zlib/commit/e54e1299404101a5a9d0cf5e45512b543967f958
https://security.gentoo.org/glsa/201701-56
https://wiki.mozilla.org/images/0/09/Zlib-report.pdf
https://wiki.mozilla.org/MOSS/Secure_Open_Source/Completed#zlib
https://ubuntu.com/security/notices/USN-4292-1
https://ubuntu.com/security/notices/USN-4246-1
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpuoct2017.html
https://www.oracle.com/security-alerts/cpuoct2018.html
https://support.apple.com/ru-ru/HT208144
https://support.apple.com/ru-ru/HT208115
https://support.apple.com/ru-ru/HT208113
https://support.apple.com/ru-ru/HT208112
https://lists.debian.org/debian-lts-announce/2019/03/msg00027.html
https://lists.debian.org/debian-lts-announce/2020/01/msg00030.html
https://lists.opensuse.org/archives/list/updates@lists.opensuse.org/message/MRDJW3XPN3FW5WF3DYT3WFOMUPP6KZBF/
https://lists.opensuse.org/archives/list/updates@lists.opensuse.org/message/OMSIGJVQEP2NTF5TWWHTMFKCQAJECWL4/
https://lists.opensuse.org/archives/list/updates@lists.opensuse.org/message/BZLCLEULOCMWPTCCKHV4XUTP4TXOHF66/
https://access.redhat.com/security/cve/CVE-2016-9842
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.6/

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: