BDU:2017-01815: Уязвимость функции crc32_big библиотеки zlib, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Описание уязвимости

Уязвимость функции crc32_big библиотеки zlib связана с ошибками обработки чисел. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации в ходе вычисления контрольной суммы с обратным порядком байт

Вендор

Novell Inc., ООО «РусБИТех-Астра», Canonical Ltd., Жан-Лу Гайи, Марк Адлер, Сообщество свободного программного обеспечения, Oracle Corp., Huawei Technologies Co., Ltd., АО "НППКТ"

Наименование ПО

openSUSE, OpenSUSE Leap, Astra Linux Special Edition (запись в едином реестре российских программ №369), Ubuntu, zlib, Debian GNU/Linux, Database Server, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), Huawei Mate 9 Pro, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)

Версия ПО

  • 13.2 (openSUSE)
  • 42.1 (OpenSUSE Leap)
  • 1.5 «Смоленск» (Astra Linux Special Edition)
  • 42.2 (OpenSUSE Leap)
  • 16.04 LTS (Ubuntu)
  • 1.2.8 (zlib)
  • 9 (Debian GNU/Linux)
  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 8.0 (Debian GNU/Linux)
  • 18c (Database Server)
  • 10 (Debian GNU/Linux)
  • 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
  • EMUI5.0 (Huawei Mate 9 Pro)
  • до 2.6 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система, Прикладное ПО информационных систем, СУБД, Микропрограммный код

Операционные системы и аппаратные платформы

Тип ошибки

Ошибки, возникающие при обработке чисел

Идентификатор типа ошибки

Класс уязвимости

Уязвимость кода

Дата выявления

23.05.2017

Базовый вектор уязвимости

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Для zlib:
Обновление программного обеспечения до 1:1.2.8.dfsg-3 или более поздней версии

Для Debian:
Обновление программного обеспечения (пакета rsync) до 3.1.2-1+deb9u2 или более поздней версии

Для Astra Linux использование рекомендаций, приведенных в бюллетени № 20191225SE81:
Обновление программного обеспечения (пакета rsync) до 3.1.2-1+deb9u2 или более поздней версии

Для Novell Inc.:
https://www.suse.com/security/cve/CVE-2016-9843/

Для Ubuntu:
https://ubuntu.com/security/CVE-2016-9843

Для Oracle Corp.:
https://www.oracle.com/security-alerts/cpujul2020.html

Для Huawei Mate 9 Pro:
Обновление программного обеспечения до версии EMUI9.1.0 и выше

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения rsync до версии 3.2.6-1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Способ эксплуатации

  • Манипулирование ресурсами

Способ устранения

Обновление программного обеспечения

Информация об устранении

Уязвимость устранена

Идентификаторы других систем описаний уязвимостей

Прочая информация

-
Последние изменения