СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Уязвимости
ФСТЭК России
29.08.2019
#ИБ

Уязвимость BDU:2019-04539

Уязвимость BDU:2019-04539

Идентификатор: BDU:2019-04539.

Наименование уязвимости: Уязвимость функции tftp_receive_packet библиотеки libcurl, связанная с переполнением буфера в памяти, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании.

Описание уязвимости: Уязвимость функции tftp_receive_packet библиотеки libcurl связана с переполнением буфера в динамической памяти. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Уязвимое ПО: Операционная система Debian GNU/Linux 9 | Сетевое программное средство, ПО программно-аппаратного средства Oracle Corp. Enterprise Manager Ops Center 12.3.3 | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» | Операционная система Debian GNU/Linux 8.0 | Операционная система Fedora Project Fedora 29 | Прикладное ПО информационных систем Oracle Corp. HTTP Server 12.2.1.3.0 | Операционная система Novell Inc. OpenSUSE Leap 15.0 | Операционная система Novell Inc. OpenSUSE Leap 15.1 | Операционная система Fedora Project Fedora 30 | Сетевое программное средство, ПО программно-аппаратного средства Oracle Corp. Enterprise Manager Ops Center 12.4.0 | Операционная система Debian GNU/Linux 10 | Операционная система Fedora Project Fedora 31 | Прикладное ПО информационных систем Дэниел Стенберг Libcurl от 7.19.4 до 7.65.3 включительно | Операционная система ООО «Ред Софт» РЕД ОС до 7.2 Муром | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград» | Сетевое программное средство Oracle Corp. Oracle Communications Session Border Controller 8.3 | СУБД Oracle Corp. MySQL Server до 8.0.18 включительно | Прикладное ПО информационных систем Oracle Corp. HTTP Server 12.2.1.4.0 | Сетевое программное средство Oracle Corp. Communications Operations Monitor 3.4.0 | Сетевое программное средство Oracle Corp. Communications Operations Monitor 4.0.0 | Сетевое программное средство Oracle Corp. Communications Operations Monitor 4.1.0 | Сетевое программное средство Oracle Corp. Communications Operations Monitor 4.2.0 | Сетевое программное средство Oracle Corp. Communications Operations Monitor 4.3.0 | Прикладное ПО информационных систем Oracle Corp. OSS Support Tools 20.0 | СУБД Oracle Corp. MySQL Server до 5.7.28 включительно | СУБД Oracle Corp. Hyperion Essbase 11.1.2.4 | Сетевое программное средство Oracle Corp. Oracle Communications Session Border Controller 8.4 | Прикладное ПО информационных систем Oracle Corp. MySQL Cluster от 7.3.0 до 7.3.30 включительно | Прикладное ПО информационных систем Oracle Corp. MySQL Cluster от 7.4.0 до 7.4.29 включительно | Прикладное ПО информационных систем Oracle Corp. MySQL Cluster от 7.5.0 до 7.5.19 включительно | Прикладное ПО информационных систем Oracle Corp. MySQL Cluster от 7.6.0 до 7.6.15 включительно | Прикладное ПО информационных систем Oracle Corp. MySQL Cluster от 8.0.0 до 8.0.21 включительно | Операционная система АО «Концерн ВНИИНС» ОС ОН «Стрелец» 1.0 | Операционная система АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023 |

Наименование ОС и тип аппаратной платформы: Debian GNU/Linux 9 | Astra Linux Special Edition 16 «Смоленск» | Debian GNU/Linux 80 | Fedora 29 | OpenSUSE Leap 150 32-bit | OpenSUSE Leap 150 | OpenSUSE Leap 151 | Fedora 30 | Debian GNU/Linux 10 | Fedora 31 | РЕД ОС до 72 Муром | Astra Linux Special Edition для «Эльбрус» 81 «Ленинград» | ОС ОН «Стрелец» 10 | ОС ОН «Стрелец» до 16012023 |
Дата выявления: 11.09.2019.
CVSS 2.0: AV:N/AC:L/Au:N/C:P/I:P/A:P
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению:
Использование рекомендаций:
Для Libcurl:
https://curl.haxx.se/docs/CVE-2019-5482.html

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/6CI4QQ2RSZX4VCFM76SIWGKY6BY7UWIC/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/RGDVKSLY5JUNJRLYRUA6CXGQ2LM63XC3/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/UA7KDM2WPM5CJDDGOEGFV6SSGD2J7RNT/

Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2019-09/msg00048.html
https://lists.opensuse.org/opensuse-security-announce/2019-09/msg00055.html

Для РЕД ОС:
Обновление операционной системы до версии 7.2 Муром

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2020.html
https://www.oracle.com/security-alerts/cpuapr2020.html
https://www.oracle.com/security-alerts/cpuoct2020.html

Для Debian:
Использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2019-5482

Для Astra Linux:
Использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81

Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie

Для ОС ОН «Стрелец»:
Обновление программного обеспечения curl до версии 7.52.1-5+deb9u16.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2019-5482.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
http://lists.opensuse.org/opensuse-security-announce/2019-09/msg00048.html
http://lists.opensuse.org/opensuse-security-announce/2019-09/msg00055.html
https://curl.haxx.se/docs/CVE-2019-5482.html
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/6CI4QQ2RSZX4VCFM76SIWGKY6BY7UWIC/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/RGDVKSLY5JUNJRLYRUA6CXGQ2LM63XC3/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/UA7KDM2WPM5CJDDGOEGFV6SSGD2J7RNT/
https://nvd.nist.gov/vuln/detail/CVE-2019-5482
https://security.netapp.com/advisory/ntap-20191004-0003/
https://security-tracker.debian.org/tracker/CVE-2019-5482
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16
https://www.ibm.com/blogs/psirt/security-bulletin-ibm-security-guardium-is-affected-by-multiple-vulnerabilities-4/
https://www.oracle.com/security-alerts/cpuapr2020.html
https://www.oracle.com/security-alerts/cpujan2020.html
https://www.oracle.com/security-alerts/cpuoct2020.html
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: