СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Уязвимости
ФСТЭК России
25.10.2018
#ИБ#Инфра

Уязвимость BDU:2018-01290

Уязвимость BDU:2018-01290

Идентификатор: BDU:2018-01290.

Наименование уязвимости: Уязвимость программного пакета X.Org Server, вызванная ошибками при обработке и проверке параметров командной строки, позволяющая нарушителю получить привилегии root и перезаписать произвольный файл в операционной системе.

Описание уязвимости: Уязвимость программного пакета X.Org Server, вызванная ошибками при обработке и проверке параметров командной строки. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить привилегии root и перезаписать произвольный файл в операционной системе с использованием параметров modulepath и logfile при запуске сервера
Уязвимое ПО: ПО сетевого программно-аппаратного средства X.Org Foundation X.Org Server до 1.20.2 включительно | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 25.10.2018.
CVSS 2.0: AV:L/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,2)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,6)

Возможные меры по устранению:
Использование рекомендаций:
https://lists.x.org/archives/xorg-announce/2018-October/002927.html

Для xorg-x11:
Обновление программного обеспечения до 1.20.3 или более поздней версии

Для Astra Linux:
Обновление программного обеспечения (пакета xorg-server) до 2:1.19.2-1+deb9u4 или более поздней версии.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2018-14665.
Прочая информация:
Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://lists.x.org/archives/xorg-announce/2018-October/002927.html
https://nvd.nist.gov/vuln/detail/CVE-2018-14665
https://securityaffairs.co/wordpress/77402/hacking/cve-2018-14665-linux-distros.html
http://www.opennet.ru/opennews/art.shtml?num=49500
https://security-tracker.debian.org/tracker/CVE-2018-14665

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: