БДУ - Уязвимости

BDU:2017-01815: Уязвимость функции crc32_big библиотеки zlib, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Описание уязвимости	Уязвимость функции crc32_big библиотеки zlib связана с ошибками обработки чисел. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации в ходе вычисления контрольной суммы с обратным порядком байт
Вендор	Novell Inc., ООО «РусБИТех-Астра», Canonical Ltd., Жан-Лу Гайи, Марк Адлер, Сообщество свободного программного обеспечения, Oracle Corp., Huawei Technologies Co., Ltd., АО "НППКТ"
Наименование ПО	openSUSE, OpenSUSE Leap, Astra Linux Special Edition (запись в едином реестре российских программ №369), Ubuntu, zlib, Debian GNU/Linux, Database Server, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), Huawei Mate 9 Pro, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО	13.2 (openSUSE) 42.1 (OpenSUSE Leap) 1.5 «Смоленск» (Astra Linux Special Edition) 42.2 (OpenSUSE Leap) 16.04 LTS (Ubuntu) 1.2.8 (zlib) 9 (Debian GNU/Linux) 1.6 «Смоленск» (Astra Linux Special Edition) 8.0 (Debian GNU/Linux) 18c (Database Server) 10 (Debian GNU/Linux) 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус») EMUI5.0 (Huawei Mate 9 Pro) до 2.6 (ОСОН ОСнова Оnyx)
Тип ПО	Операционная система, Прикладное ПО информационных систем, СУБД, Микропрограммный код
Операционные системы и аппаратные платформы	Novell Inc. openSUSE 13.2 32-bit Novell Inc. OpenSUSE Leap 42.1 32-bit Novell Inc. OpenSUSE Leap 42.2 32-bit Canonical Ltd. Ubuntu 16.04 LTS Сообщество свободного программного обеспечения Debian GNU/Linux 9 ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369) Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 Сообщество свободного программного обеспечения Debian GNU/Linux 10 ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград» (запись в едином реестре российских программ №11156) АО "НППКТ" ОСОН ОСнова Оnyx до 2.6 (запись в едином реестре российских программ №5913)
Тип ошибки	Ошибки, возникающие при обработке чисел
Идентификатор типа ошибки	CWE-189
Класс уязвимости	Уязвимость кода
Дата выявления	23.05.2017
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:P/I:P/A:P CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5) Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости	Для zlib: Обновление программного обеспечения до 1:1.2.8.dfsg-3 или более поздней версии Для Debian: Обновление программного обеспечения (пакета rsync) до 3.1.2-1+deb9u2 или более поздней версии Для Astra Linux использование рекомендаций, приведенных в бюллетени № 20191225SE81: Обновление программного обеспечения (пакета rsync) до 3.1.2-1+deb9u2 или более поздней версии Для Novell Inc.: https://www.suse.com/security/cve/CVE-2016-9843/ Для Ubuntu: https://ubuntu.com/security/CVE-2016-9843 Для Oracle Corp.: https://www.oracle.com/security-alerts/cpujul2020.html Для Huawei Mate 9 Pro: Обновление программного обеспечения до версии EMUI9.1.0 и выше Для ОСОН ОСнова Оnyx: Обновление программного обеспечения rsync до версии 3.2.6-1
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Существует в открытом доступе
Способ эксплуатации	Манипулирование ресурсами
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	http://lists.opensuse.org/opensuse-updates/2016-12/msg00127.html http://lists.opensuse.org/opensuse-updates/2017-01/msg00050.html http://lists.opensuse.org/opensuse-updates/2017-01/msg00053.html http://www.openwall.com/lists/oss-security/2016/12/05/21 http://www.securityfocus.com/bid/95131 https://bugzilla.redhat.com/show_bug.cgi?id=1402351 https://github.com/madler/zlib/commit/d1d577490c15a0c6862473d7576352a9f18ef811 https://security.gentoo.org/glsa/201701-56 https://wiki.mozilla.org/images/0/09/Zlib-report.pdf https://wiki.mozilla.org/MOSS/Secure_Open_Source/Completed#zlib https://wiki.astralinux.ru/pages/viewpage.action?pageId=67111271 https://www.suse.com/security/cve/CVE-2016-9843/: https://ubuntu.com/security/CVE-2016-9843 https://www.oracle.com/security-alerts/cpujul2020.html https://wiki.astralinux.ru/astra-linux-se15-bulletin-20201201SE15 https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.6/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2016-9843 GLSA: GLSA-201701-56 openSUSE-SU: openSUSE-SU-2017:0080 openSUSE-SU: openSUSE-SU-2017:0077 openSUSE-SU: openSUSE-SU-2016:3202 BID: BID ID:95131
Прочая информация	-

Последние изменения

27.11.2023 Уязвимость программного обеспечения Blitz Identity Provider, связанная с возможностью перенаправления URL-адреса, позволяющая нарушителю перенаправить пользователя на произвольный URL-адрес
27.11.2023 Уязвимость метода UpdateAction программного обеспечения сетевого мониторинга SolarWinds Orion, позволяющая нарушителю выполнить произвольный код с привилегиями сетевой службы (NETWORK SERVICE)
27.11.2023 Уязвимость программного обеспечения управления и конфигурирования сети Siemens SINEMA Server, позволяющая нарушителю выполнить произвольный код с привилегиями SYSTEM
27.11.2023 Уязвимость функции mremap() ядра операционных систем Linux, позволяющая нарушителю вызвать отказ в обслуживании или повысить свои привилегии
27.11.2023 Уязвимость реализации протоколов TLS и SSL VPN-клиента Cisco AnyConnect микропрограммного обеспечения межсетевых экранов Cisco Adaptive Security Appliance (ASA) и Cisco Firepower Threat Defense (FTD), позволяющая нарушителю вызвать отказ в обслуживании
27.11.2023 Уязвимость программного обеспечения для защиты от вредоносных программ Cisco Secure Endpoint Connector для Windows, связанная с ошибками синхронизации при использовании общего ресурса («Ситуация гонки»), позволяющая нарушителю вызвать отказ в обслуживании
27.11.2023 Уязвимость веб-интерфейса управления платформы управления политиками соединений Cisco Identity Services Engine (ISE), позволяющая нарушителю загрузить произвольные файлы
27.11.2023 Уязвимость средства обеспечения безопасности конечных точек Cisco Secure Client (ранее Cisco AnyConnect Secure Mobility Client), связанная с некорректной зачисткой или освобождением ресурсов, позволяющая нарушителю вызвать отказ в обслуживании
27.11.2023 Уязвимость средства обеспечения безопасности конечных точек Cisco Secure Client (ранее Cisco AnyConnect Secure Mobility Client), связанная с некорректной зачисткой или освобождением ресурсов, позволяющая нарушителю вызвать отказ в обслуживании
27.11.2023 Уязвимость режима чтения (Reader Mode) браузера Firefox for iOS, позволяющая нарушителю повысить свои привилегии

Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»