Уязвимость BDU:2019-02512

Идентификатор: BDU:2019-02512.

Наименование уязвимости: Уязвимость функции hfsplus_lookup () ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании.

Описание уязвимости: Уязвимость функции hfsplus_lookup () (fs/hfsplus/dir.c) ядра операционной системы Linux связана с разыменованием нулевого указателя, возникающее при открытии файла (который якобы является жесткой ссылкой) в файловой системе hfs + . Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Уязвимое ПО: Операционная система Canonical Ltd. Ubuntu 14.04 | Операционная система Debian GNU/Linux 9 | Операционная система Novell Inc. OpenSUSE Leap 42.3 | Операционная система Canonical Ltd. Ubuntu 16.04 | Операционная система Novell Inc. Suse Linux Enterprise Desktop 12 SP3 | Операционная система Novell Inc. Suse Linux Enterprise Desktop 12 SP4 | Прикладное ПО информационных систем Novell Inc. SUSE Enterprise Storage 4 | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2 | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2-BCL | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2-ESPOS | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2-LTSS | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Software Development Kit 12 SP3 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Software Development Kit 12 SP4 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Workstation Extension 12 SP3 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Workstation Extension 12 SP4 | Прикладное ПО информационных систем Novell Inc. SUSE OpenStack Cloud 7 | Операционная система Debian GNU/Linux 8.0 | Операционная система Novell Inc. Suse Linux Enterprise Server 12 SP3 | Операционная система Novell Inc. Suse Linux Enterprise Server 12 SP4 | Прикладное ПО информационных систем Novell Inc. OpenStack Cloud Magnum Orchestration 7.0 | Операционная система Novell Inc. Suse Linux Enterprise Server 11 SP3 LTSS | Операционная система Novell Inc. Suse Linux Enterprise Server 11 SP4 | Операционная система Novell Inc. Suse Linux Enterprise Server 12 SP1 LTSS | Операционная система Novell Inc. Suse Linux Enterprise Server 12 SP2 LTSS | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Software Development Kit 11 SP4 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Module for Basesystem 15 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Module for Basesystem 15 SP1 | Операционная система Novell Inc. OpenSUSE Leap 15.0 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Module for Development Tools 15 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Module for Development Tools 15 SP1 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Point of Sale 12 SP2-CLIENT | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Build System Kit 12 SP3 | Операционная система Novell Inc. Suse Linux Enterprise Server 12 SP2-BCL | Операционная система Novell Inc. Suse Linux Enterprise Server 12 SP2-ESPOS | Прикладное ПО информационных систем Novell Inc. SUSE CaaS Platform — | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise High Availability 12 SP2 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise High Availability 12 SP3 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise High Availability 12 SP4 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise High Availability 15 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise High Availability 15 SP1 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Live Patching 12 SP3 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Module for Legacy Software 15 SP1 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Module for Legacy Software 15 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Module for Live Patching 15 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Module for Public Cloud 12 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Module for Public Cloud 15 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Point of Sale 11 SP3 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Real Time Extension 11 SP4 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Real Time Extension 12 SP3 | Операционная система Novell Inc. Suse Linux Enterprise Server 12-LTSS | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 11 SP3-LTSS | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 11 SP4 | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP1 | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP1-LTSS | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12-LTSS | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Workstation Extension 15 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Workstation Extension 15 SP1 | Операционная система Linux от 4.5 до 4.9.126 включительно | Операционная система Linux от 4.10 до 4.14.69 включительно | Операционная система Linux от 4.15 до 4.18.7 включительно | Операционная система Linux от 2.6.12 до 4.4.155 включительно |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 26.07.2018.
CVSS 2.0: AV:N/AC:M/Au:N/C:N/I:N/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,5)
Нет опасности уровень опасности (базовая оценка CVSS 4.0 составляет 0)

Возможные меры по устранению:
Для операционной системы Linux:
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.70
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.18.8
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.4.156
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.127

Использование рекомендаций для программных продуктов SuSE:
https://www.suse.com/security/cve/CVE-2018-14617/.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2018-14617.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
http://www.securityfocus.com/bid/104917
https://bugzilla.kernel.org/show_bug.cgi?id=200297
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-14617
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.70
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.18.8
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.4.156
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.127
https://lists.debian.org/debian-lts-announce/2018/10/msg00003.html
https://nvd.nist.gov/vuln/detail/CVE-2018-14617
https://ubuntu.com/security/notices/USN-3821-1
https://ubuntu.com/security/notices/USN-3821-2
https://ubuntu.com/security/notices/USN-4094-1
https://ubuntu.com/security/notices/USN-4118-1
https://usn.ubuntu.com/3821-1/
https://usn.ubuntu.com/3821-2/
https://usn.ubuntu.com/4094-1/
https://usn.ubuntu.com/4118-1/
https://usn.ubuntu.com/usn/usn-3821-1
https://usn.ubuntu.com/usn/usn-3821-2
https://usn.ubuntu.com/usn/usn-4094-1
https://usn.ubuntu.com/usn/usn-4118-1
https://www.cve.org/CVERecord?id=CVE-2018-14617
https://www.debian.org/security/2018/dsa-4308
https://www.spinics.net/lists/linux-fsdevel/msg130021.html
https://www.suse.com/security/cve/CVE-2018-14617/