Уязвимость BDU:2020-00690

Дата: 18.03.2019. Автор: ФСТЭК России. Категории: Уязвимости

Идентификатор: BDU:2020-00690.

Наименование уязвимости: Уязвимость интерпретатора языка программирования Python, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации.

Описание уязвимости: Уязвимость интерпретатора языка программирования Python связана с ошибками управления регистрационными данными. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации
Уязвимое ПО: Операционная система Red Hat Inc. Red Hat Enterprise Linux 6 | Операционная система Red Hat Inc. Red Hat Enterprise Linux 7 | Операционная система Canonical Ltd. Ubuntu 16.04 LTS | Операционная система Novell Inc. OpenSUSE Leap 42.3 | Операционная система Canonical Ltd. Ubuntu 18.04 LTS | Операционная система Novell Inc. Suse Linux Enterprise Desktop 12 SP3 | Операционная система Novell Inc. Suse Linux Enterprise Desktop 12 SP4 | Прикладное ПО информационных систем Novell Inc. SUSE Enterprise Storage 4 | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2 | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2-BCL | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2-ESPOS | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2-LTSS | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3 | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Software Development Kit 12 SP3 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Software Development Kit 12 SP4 | Прикладное ПО информационных систем Novell Inc. SUSE OpenStack Cloud 7 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Module for Open Buildservice Development Tools 15 | ПО виртуализации/ПО виртуального программно-аппаратного средства Red Hat Inc. Red Hat Virtualization 4 | Операционная система Novell Inc. Suse Linux Enterprise Server 12 SP3 | Операционная система Novell Inc. Suse Linux Enterprise Server 12 SP4 | Операционная система Fedora Project Fedora 29 | Операционная система Canonical Ltd. Ubuntu 19.04 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Module for Web Scripting 12 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Module for Basesystem 15 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Module for Basesystem 15 SP1 | Операционная система Novell Inc. OpenSUSE Leap 15.0 | Прикладное ПО информационных систем Novell Inc. SUSE CaaS Platform 3.0 | Прикладное ПО информационных систем Novell Inc. SUSE Enterprise Storage 5 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Module for Desktop Applications 15 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Module for Development Tools 15 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Module for Development Tools 15 SP1 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Point of Sale 12 SP2-CLIENT | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Module for Desktop Applications 15 SP1 | Операционная система Novell Inc. Suse Linux Enterprise Server 12 SP2-BCL | Операционная система Novell Inc. Suse Linux Enterprise Server 12 SP2-ESPOS | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Point of Sale 11 SP3 | Операционная система Novell Inc. Suse Linux Enterprise Server 12-LTSS | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP1 | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP1-LTSS | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12-LTSS | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Module for Open Buildservice Development Tools 15 SP1 | Операционная система Novell Inc. OpenSUSE Leap 15.1 | Операционная система Novell Inc. Suse Linux Enterprise Server 11 SP4-LTSS | Операционная система Novell Inc. Suse Linux Enterprise Server 12 SP1-LTSS | Операционная система Novell Inc. Suse Linux Enterprise Server 12 SP2-LTSS | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 11 SP4-LTSS | Операционная система Fedora Project Fedora 30 | Операционная система Red Hat Inc. Red Hat Enterprise Linux 7.4 EUS | Операционная система Red Hat Inc. Red Hat Enterprise Linux 7.5 EUS | Операционная система Red Hat Inc. Red Hat Enterprise Linux 7.6 EUS | Операционная система Novell Inc. Suse Linux Enterprise Server 12 SP5 | Операционная система Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5 | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Software Development Kit 12 SP5 | Прикладное ПО информационных систем Novell Inc. OpenStack Cloud Magnum Orchestration 7 | Операционная система Fedora Project Fedora 31 | Прикладное ПО информационных систем Red Hat Inc. Red Hat Software Collections — | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise High Performance Computing 12 SP5 | Сетевое программное средство Oracle Corp. Sun ZFS Storage Appliance Kit 8.8.6 | Прикладное ПО информационных систем Python Software Foundation Python от 2.7.0 до 2.7.16 включительно | Прикладное ПО информационных систем Python Software Foundation Python от 3.0.0 до 3.7.2 включительно | Прикладное ПО информационных систем Novell Inc. SUSE Linux Enterprise Module for Python2 packages 15 SP1 |

Наименование ОС и тип аппаратной платформы: Red Hat Enterprise Linux 6 | Red Hat Enterprise Linux 7 | Ubuntu 1604 LTS | OpenSUSE Leap 423 | Ubuntu 1804 LTS | Fedora 29 | Ubuntu 1904 | OpenSUSE Leap 150 | OpenSUSE Leap 151 | Fedora 30 | Red Hat Enterprise Linux 74 EUS | Red Hat Enterprise Linux 75 EUS | Red Hat Enterprise Linux 76 EUS | Fedora 31 |
Дата выявления: 18.03.2019.
CVSS 2.0: AV:N/AC:L/Au:N/C:P/I:N/A:N
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению:
Использование рекомендаций производителя:
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/public-vuln-to-advisory-mapping.html

Для Python Software Foundation:
https://github.com/python/cpython/pull/12201

Для программных продуктов Canonical Ltd.:
https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-9636.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2019-9636

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2019-9636
.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2019-9636.

Тип ошибки CWE: CWE-255
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://www.oracle.com/security-alerts/public-vuln-to-advisory-mapping.html
https://github.com/python/cpython/pull/12201
https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-9636.html
https://access.redhat.com/security/cve/CVE-2019-9636
https://www.suse.com/security/cve/CVE-2019-9636

ФСТЭК России

Об авторе ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Читать все записи автора ФСТЭК России

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *