Уязвимость BDU:2022-05187

Дата: 18.11.2020. Автор: ФСТЭК России. Категории: Уязвимости

Идентификатор: BDU:2022-05187.

Наименование уязвимости: Уязвимость функции wcsnrtombs библиотеки для языка Си для операционных систем на основе ядра операционных систем Linux Musl, позволяющая нарушителю вызвать отказ в обслуживании.

Описание уязвимости: Уязвимость функции wcsnrtombs библиотеки для языка Си для операционных систем на основе ядра операционных систем Linux Musl связана с записью за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании
Уязвимое ПО: Операционная система Debian GNU/Linux 9.0 | Операционная система Fedora Project Fedora 33 | Операционная система Fedora Project Fedora 34 | Прикладное ПО информационных систем Oracle Corp. GraalVM Enterprise Edition 21.1.0 | Прикладное ПО информационных систем Oracle Corp. GraalVM Enterprise Edition 20.3.2 | Прикладное ПО информационных систем Microsoft Corp. SDK Open Enclave от 0.1.4 до 0.14.0 | Прикладное ПО информационных систем Rich Felker Musl до 1.2.1 включительно | Операционная система Alpine Linux Development Team Alpine Linux 3.12.2 | Операционная система Arch Linux — | Операционная система АО «НППКТ» ОСОН ОСнова Оnyx до 2.5 |

Наименование ОС и тип аппаратной платформы: Debian GNU/Linux 90 | Fedora 33 | Fedora 34 | Alpine Linux 3122 | Arch Linux — x86-64-bit |
Дата выявления: 18.11.2020.
CVSS 2.0: AV:L/AC:L/Au:S/C:N/I:N/A:C
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,5)

Возможные меры по устранению:
Использование рекомендаций:
https://alpinelinux.org/posts/Alpine-3.12.2-released.html
https://lists.apache.org/thread.html/r2134abfe847bea7795f0e53756d10a47e6643f35ab8169df8b8a9eb1@%3Cnotifications.apisix.apache.org%3E
https://lists.apache.org/thread.html/r90b60cf49348e515257b4950900c1bd3ab95a960cf2469d919c7264e@%3Cnotifications.apisix.apache.org%3E
https://lists.apache.org/thread.html/ra63e8dc5137d952afc55dbbfa63be83304ecf842d1eab1ff3ebb29e2@%3Cnotifications.apisix.apache.org%3E

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/LKQ3RVSMVZNZNO4D65W2CZZ4DMYFZN2Q/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/UW27QVY7ERPTSGKS4KAWE5TU7EJWHKVQ/

Для Musl:
Обновление программного обеспечения до 1.2.2-1 или более поздней версии

Для программных продуктов Oracle:
https://www.oracle.com//security-alerts/cpujul2021.html
https://www.oracle.com/security-alerts/cpuoct2021.html

Для Debian:
Обновление программного обеспечения (пакета musl) до 1.1.21-2 или более поздней версии

Для Astra Linux:
Обновление программного обеспечения (пакета musl) до 1.1.21-2 или более поздней версии

Для ОСОН Основа:
Обновление программного обеспечения musl до версии 1.2.2-1.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2020-28928.

Тип ошибки CWE: CWE-787, CWE-835
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://nvd.nist.gov/vuln/detail/CVE-2020-28928
https://vuldb.com/?id.179143
https://www.cybersecurity-help.cz/vdb/SB2020112104
http://www.openwall.com/lists/oss-security/2020/11/20/4
https://lists.debian.org/debian-lts-announce/2020/11/msg00050.html
https://lists.apache.org/thread.html/r2134abfe847bea7795f0e53756d10a47e6643f35ab8169df8b8a9eb1@%3Cnotifications.apisix.apache.org%3E
https://lists.apache.org/thread.html/r90b60cf49348e515257b4950900c1bd3ab95a960cf2469d919c7264e@%3Cnotifications.apisix.apache.org%3E
https://lists.apache.org/thread.html/ra63e8dc5137d952afc55dbbfa63be83304ecf842d1eab1ff3ebb29e2@%3Cnotifications.apisix.apache.org%3E
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/LKQ3RVSMVZNZNO4D65W2CZZ4DMYFZN2Q/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/UW27QVY7ERPTSGKS4KAWE5TU7EJWHKVQ/
https://musl.libc.org/releases.html
https://www.oracle.com//security-alerts/cpujul2021.html
https://www.oracle.com/security-alerts/cpuoct2021.html
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.5/

Об авторе ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Читать все записи автора ФСТЭК России

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *