Уязвимость BDU:2019-04585

Дата: 12.11.2019. Автор: ФСТЭК России. Категории: Уязвимости

Идентификатор: BDU:2019-04585.

Наименование уязвимости: Уязвимость пакетов node-tar и fstream средства разработки программного обеспечения Microsoft Visual Studio, позволяющая нарушителю изменить произвольные файлы.

Описание уязвимости: Уязвимость пакетов node-tar и fstream средства разработки программного обеспечения Microsoft Visual Studio связана с ошибками при проверке жёстких ссылок (при извлечении архивных файлов). Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, изменить произвольные файлы (загрузив вредоносный пакет, либо заставив пользователя открыть вредоносный проект, либо убедив пользователя добавить вредоносный пакет в существующий проект)
Уязвимое ПО: Прикладное ПО информационных систем Microsoft Corp. Microsoft Visual Studio 2017 15.9 | Прикладное ПО информационных систем Microsoft Corp. Microsoft Visual Studio 2019 16.0 | Прикладное ПО информационных систем Node.js Foundation node-tar до 2.2.2 | Прикладное ПО информационных систем Microsoft Corp. Microsoft Visual Studio 2019 16.3 | Прикладное ПО информационных систем Node.js Foundation node-tar от 4.0.0 до 4.4.2 | Прикладное ПО информационных систем Node.js Foundation fstream до 1.0.12 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 12.11.2019.
CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:C/A:N
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению:
Использование рекомендаций:
Для Visual Studio:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1425

Для tar:
https://www.npmjs.com/advisories/803

Для fstream:
https://www.npmjs.com/advisories/886
.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2019-1425.

Тип ошибки CWE: CWE-269
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1425
https://nvd.nist.gov/vuln/detail/CVE-2019-1425
https://www.npmjs.com/advisories/803
https://www.npmjs.com/advisories/886

ФСТЭК России

Об авторе ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Читать все записи автора ФСТЭК России

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *