BDU:2019-04258: Уязвимость функциях XListExtensions библиотеки предоставления клиентского API для X Window System libX11, позволяющая нарушителю вызвать отказ в обслуживании или выполнить произвольный код

Описание уязвимости Уязвимость функциях XListExtensions (ListExt.c) библиотеки предоставления клиентского API для X Window System libX11 связана с записью за границы буфера памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании или выполнить произвольный код
Вендор Red Hat Inc., Canonical Ltd., Novell Inc., АО «НПО РусБИТех», Сообщество свободного программного обеспечения, X.Org Foundation
Наименование ПО Red Hat Enterprise Linux, Ubuntu, OpenSUSE Leap, Astra Linux, SUSE Linux Enterprise, SUSE Linux Enterprise Server for SAP Applications, SUSE Linux Enterprise Software Development Kit, Debian GNU/Linux, Suse Linux Enterprise Server, SUSE Linux Enterprise Module for Basesystem, SUSE Linux Enterprise Point of Sale, Xlib (libX11)
Версия ПО
  • 7 (Red Hat Enterprise Linux)
  • 16.04 LTS (Ubuntu)
  • 42.3 (OpenSUSE Leap)
  • 18.04 LTS (Ubuntu)
  • 1.6 «Смоленск» (Astra Linux)
  • 12 SP3 (SUSE Linux Enterprise)
  • 12 SP4 (SUSE Linux Enterprise)
  • 12 SP3 (SUSE Linux Enterprise Server for SAP Applications)
  • 12 SP3 (SUSE Linux Enterprise Software Development Kit)
  • 12 SP4 (SUSE Linux Enterprise Software Development Kit)
  • 8.0 (Debian GNU/Linux)
  • 12 SP3 (Suse Linux Enterprise Server)
  • 12 SP4 (Suse Linux Enterprise Server)
  • 11 SP3 LTSS (Suse Linux Enterprise Server)
  • 11 SP4 (Suse Linux Enterprise Server)
  • 11 SP4 (SUSE Linux Enterprise Software Development Kit)
  • 12.04 ESM (Ubuntu)
  • 15.0 (OpenSUSE Leap)
  • 15 (SUSE Linux Enterprise Module for Basesystem)
  • 15 SP1 (SUSE Linux Enterprise Module for Basesystem)
  • 11 SP3 (SUSE Linux Enterprise Point of Sale)
  • 11 SP3-LTSS (SUSE Linux Enterprise Server for SAP Applications)
  • 11 SP4 (SUSE Linux Enterprise Server for SAP Applications)
  • 14.04 ESM (Ubuntu)
  • до 1.6.6 (Xlib (libX11))
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
  • Red Hat Inc. Red Hat Enterprise Linux 7
  • Canonical Ltd. Ubuntu 16.04 LTS
  • Novell Inc. OpenSUSE Leap 42.3
  • Canonical Ltd. Ubuntu 18.04 LTS
  • АО «НПО РусБИТех» Astra Linux 1.6 «Смоленск»
  • Сообщество свободного программного обеспечения Debian GNU/Linux 8.0
  • Canonical Ltd. Ubuntu 12.04 ESM
  • Novell Inc. OpenSUSE Leap 15.0 32-bit
  • Canonical Ltd. Ubuntu 14.04 ESM
Тип ошибки Запись за границами буфера
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 24.08.2018
Базовый вектор уязвимости
Уровень опасности уязвимости Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Xlib:
https://cgit.freedesktop.org/xorg/lib/libX11/commit/?id=dbf72805fd9d7b1846fe9a11b46f3994bfc27fea

Для программных продуктов Novell Inc:
https://www.suse.com/security/cve/CVE-2018-14600/

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2018/08/msg00030.html

Для Ubuntu:
https://usn.ubuntu.com/3758-1/
https://usn.ubuntu.com/3758-2/

Для программмных продуктов Red Hat Inc.:
https://bugzilla.redhat.com/show_bug.cgi?id=1623242

Для Astra Linux:
https://wiki.astralinux.ru/pages/viewpage.action?pageId=44892734
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения