Уязвимость BDU:2019-03811

Дата: 21.05.2018. Автор: ФСТЭК России. Категории: Уязвимости

Идентификатор: BDU:2019-03811.

Наименование уязвимости: Уязвимость централизованной службы для поддержки информации о конфигурации, именования, обеспечения распределенной синхронизации и предоставления групповых служб Apache ZooKeeper, позволяющая нарушителю записать произвольные файлы в операционной системе уязвимого устройства.

Описание уязвимости: Уязвимость централизованной службы для поддержки информации о конфигурации, именования, обеспечения распределенной синхронизации и предоставления групповых служб Apache ZooKeeper существует из-за отсутствия аутентификации при присоединении к кворуму. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, записать произвольные файлы в операционной системе уязвимого устройства
Уязвимое ПО: Операционная система Debian GNU/Linux 8.0 | Операционная система Debian GNU/Linux 9.0 | Прикладное ПО информационных систем Apache Software Foundation ZooKeeper до 3.4.10 | Прикладное ПО информационных систем Apache Software Foundation ZooKeeper от 3.5.0 до 3.5.3 | Прикладное ПО информационных систем Apache Software Foundation ZooKeeper 3.5.0 alpha | Прикладное ПО информационных систем Apache Software Foundation ZooKeeper 3.5.3 beta |

Наименование ОС и тип аппаратной платформы: Debian GNU/Linux 80 | Debian GNU/Linux 90 |
Дата выявления: 21.05.2018.
CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:C/A:N
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению:
Использование рекомендаций:
Для Apache ZooKeeper:
https://lists.apache.org/thread.html/c75147028c1c79bdebd4f8fa5db2b77da85de2b05ecc0d54d708b393@%3Cdev.zookeeper.apache.org%3E

Для Debian GNU/Linux:
https://www.debian.org/security/2018/dsa-4214
.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2018-8012.

Тип ошибки CWE: CWE-862
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10967&cat=SIRT_1&actp=LIST
https://lists.apache.org/thread.html/c75147028c1c79bdebd4f8fa5db2b77da85de2b05ecc0d54d708b393@%3Cdev.zookeeper.apache.org%3E
https://www.debian.org/security/2018/dsa-4214

Об авторе ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Читать все записи автора ФСТЭК России

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *