BDU:2017-02383: Уязвимость функции inflateMark библиотеки zlib, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Описание уязвимости Уязвимость функции inflateMark (inflate.c) библиотеки zlib вызвана ошибкой обработки отрицательных чисел. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать неопределённое поведение программы, что может привести к нарушению конфиденциальности, целостности и доступности защищаемой информации
Вендор Novell Inc., Жан-Лу Гайи, Марк Адлер, IBM Corp., Red Hat Inc., Canonical Ltd., Apple Inc., Oracle Corp., Сообщество свободного программного обеспечения, Huawei Technologies Co., Ltd., АО "НППКТ"
Наименование ПО openSUSE, zlib, OpenSUSE Leap, IBM Vios, IBM Java, Red Hat Enterprise Linux, IBM i, IBM Aix, Ubuntu, Mac OS, Database Server, Debian GNU/Linux, Huawei Mate 9 Pro, iOS, Java SE, Java SE Embedded, MySQL Server, watchOS, tvOS, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО
  • 13.2 (openSUSE)
  • 1.2.8 (zlib)
  • 42.2 (OpenSUSE Leap)
  • 2.2.0.0 (IBM Vios)
  • 2.2.1.0 (IBM Vios)
  • 2.2.1.1 (IBM Vios)
  • 2.2.1.3 (IBM Vios)
  • 2.2.1 4 (IBM Vios)
  • 2.2.1.8 (IBM Vios)
  • 2.2.1.9 (IBM Vios)
  • 2.2.2.0 (IBM Vios)
  • 2.2.2.4 (IBM Vios)
  • 2.2.2.5 (IBM Vios)
  • 2.2.2.6 (IBM Vios)
  • 2.2.3.0 (IBM Vios)
  • 2.2.3.2 (IBM Vios)
  • 2.2.3.3 (IBM Vios)
  • 2.2.3.4 (IBM Vios)
  • 2.2.3.50 (IBM Vios)
  • 2.2.4.0 (IBM Vios)
  • SDK 8 SR 4 FP 2 (IBM Java)
  • SDK 7R1 SR 4 FP 1 (IBM Java)
  • SDK 7 SR 10 FP 1 (IBM Java)
  • SDK 6R1 SR 8 FP 7 (IBM Java)
  • SDK 6R1 SR 8 FP 5 (IBM Java)
  • SDK 6R1 SR 8 FP 30 (IBM Java)
  • SDK 6R1 SR 8 FP 26 (IBM Java)
  • SDK 6R1 SR 8 FP 25 (IBM Java)
  • SDK 6R1 SR 8 FP 21 (IBM Java)
  • SDK 6R1 SR 8 FP 15 (IBM Java)
  • SDK 6 SR 16 FP 7 (IBM Java)
  • SDK 6 SR 16 FP 5 (IBM Java)
  • SDK 6 SR 16 FP 41 (IBM Java)
  • SDK 6 SR 16 FP 30 (IBM Java)
  • SDK 6 SR 16 FP 26 (IBM Java)
  • SDK 6 SR 16 FP 25 (IBM Java)
  • SDK 6 SR 16 FP 22 (IBM Java)
  • SDK 6 SR 16 FP 15 (IBM Java)
  • 42.1 (OpenSUSE Leap)
  • Workstation Supplementary 7 (Red Hat Enterprise Linux)
  • Workstation Supplementary 6 (Red Hat Enterprise Linux)
  • Server Supplementary 7 (Red Hat Enterprise Linux)
  • Server Supplementary 6 (Red Hat Enterprise Linux)
  • HPC Node Supplementary 6 (Red Hat Enterprise Linux)
  • Desktop Supplementary 6 (Red Hat Enterprise Linux)
  • ComputeNode Supplementary 7 (Red Hat Enterprise Linux)
  • 6.1 (IBM i)
  • 7.1 (IBM i)
  • 7.2 (IBM i)
  • 7.3 (IBM i)
  • 5.3 (IBM Aix)
  • 6.1 (IBM Aix)
  • 7.1 (IBM Aix)
  • 7.2 (IBM Aix)
  • 18.04 LTS (Ubuntu)
  • до High Sierra 10.13 (Mac OS)
  • 18c (Database Server)
  • 8 (Debian GNU/Linux)
  • EMUI5.0 (Huawei Mate 9 Pro)
  • до 11.0 (iOS)
  • 16.04 ESM (Ubuntu)
  • 6u161 (Java SE)
  • 7u151 (Java SE)
  • 8u144 (Java SE)
  • 8u144 (Java SE Embedded)
  • до 5.5.61 включительно (MySQL Server)
  • от 5.6.0 до 5.6.41 включительно (MySQL Server)
  • от 5.7.0 до 5.7.23 включительно (MySQL Server)
  • от 8.0.0 до 8.0.12 включительно (MySQL Server)
  • до 4 (watchOS)
  • до 11 (tvOS)
  • до 2.6 (ОСОН ОСнова Оnyx)
Тип ПО Операционная система, Прикладное ПО информационных систем, СУБД, Микропрограммный код, ПО виртуализации/ПО виртуального программно-аппаратного средства
Операционные системы и аппаратные платформы
  • Novell Inc. openSUSE 13.2
  • Novell Inc. OpenSUSE Leap 42.2
  • IBM Corp. IBM Vios 2.2.0.0
  • IBM Corp. IBM Vios 2.2.1.0
  • IBM Corp. IBM Vios 2.2.1.1
  • IBM Corp. IBM Vios 2.2.1.3
  • IBM Corp. IBM Vios 2.2.1 4
  • IBM Corp. IBM Vios 2.2.1.8
  • IBM Corp. IBM Vios 2.2.1.9
  • IBM Corp. IBM Vios 2.2.2.0
  • IBM Corp. IBM Vios 2.2.2.4
  • IBM Corp. IBM Vios 2.2.2.5
  • IBM Corp. IBM Vios 2.2.2.6
  • IBM Corp. IBM Vios 2.2.3.0
  • IBM Corp. IBM Vios 2.2.3.2
  • IBM Corp. IBM Vios 2.2.3.3
  • IBM Corp. IBM Vios 2.2.3.4
  • IBM Corp. IBM Vios 2.2.3.50
  • IBM Corp. IBM Vios 2.2.4.0
  • IBM Corp. IBM Java SDK 8 SR 4 FP 2
  • IBM Corp. IBM Java SDK 7R1 SR 4 FP 1
  • IBM Corp. IBM Java SDK 7 SR 10 FP 1
  • IBM Corp. IBM Java SDK 6R1 SR 8 FP 7
  • IBM Corp. IBM Java SDK 6R1 SR 8 FP 5
  • IBM Corp. IBM Java SDK 6R1 SR 8 FP 30
  • IBM Corp. IBM Java SDK 6R1 SR 8 FP 26
  • IBM Corp. IBM Java SDK 6R1 SR 8 FP 25
  • IBM Corp. IBM Java SDK 6R1 SR 8 FP 21
  • IBM Corp. IBM Java SDK 6R1 SR 8 FP 15
  • IBM Corp. IBM Java SDK 6 SR 16 FP 7
  • IBM Corp. IBM Java SDK 6 SR 16 FP 5
  • IBM Corp. IBM Java SDK 6 SR 16 FP 41
  • IBM Corp. IBM Java SDK 6 SR 16 FP 30
  • IBM Corp. IBM Java SDK 6 SR 16 FP 26
  • IBM Corp. IBM Java SDK 6 SR 16 FP 25
  • IBM Corp. IBM Java SDK 6 SR 16 FP 22
  • IBM Corp. IBM Java SDK 6 SR 16 FP 15
  • Novell Inc. OpenSUSE Leap 42.1
  • Red Hat Inc. Red Hat Enterprise Linux Workstation Supplementary 7
  • Red Hat Inc. Red Hat Enterprise Linux Workstation Supplementary 6
  • Red Hat Inc. Red Hat Enterprise Linux Server Supplementary 7
  • Red Hat Inc. Red Hat Enterprise Linux Server Supplementary 6
  • Red Hat Inc. Red Hat Enterprise Linux HPC Node Supplementary 6
  • Red Hat Inc. Red Hat Enterprise Linux Desktop Supplementary 6
  • Red Hat Inc. Red Hat Enterprise Linux ComputeNode Supplementary 7
  • IBM Corp. IBM i 6.1
  • IBM Corp. IBM i 7.1
  • IBM Corp. IBM i 7.2
  • IBM Corp. IBM i 7.3
  • IBM Corp. IBM Aix 5.3
  • IBM Corp. IBM Aix 6.1
  • IBM Corp. IBM Aix 7.1
  • IBM Corp. IBM Aix 7.2
  • Canonical Ltd. Ubuntu 18.04 LTS
  • Apple Inc. Mac OS до High Sierra 10.13
  • Сообщество свободного программного обеспечения Debian GNU/Linux 8
  • Apple Inc. iOS до 11.0
  • Canonical Ltd. Ubuntu 16.04 ESM
  • Apple Inc. watchOS до 4
  • Apple Inc. tvOS до 11
  • АО "НППКТ" ОСОН ОСнова Оnyx до 2.6 (запись в едином реестре российских программ №5913)
Тип ошибки Ошибки, возникающие при обработке чисел
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 22.09.2016
Базовый вектор уязвимости
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)
Возможные меры по устранению уязвимости
Использование рекомендаций:
https://github.com/madler/zlib/commit/e54e1299404101a5a9d0cf5e45512b543967f958

Для Huawei Mate 9 Pro:
Обновление программного обеспечения до версии EMUI9.1.0 и выше

Для Ubuntu:
https://ubuntu.com/security/notices/USN-4292-1
https://ubuntu.com/security/notices/USN-4246-1

Для продуктов Oracle:
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpuoct2017.html
https://www.oracle.com/security-alerts/cpuoct2018.html

Для продуктов Apple:
https://support.apple.com/ru-ru/HT208144
https://support.apple.com/ru-ru/HT208115
https://support.apple.com/ru-ru/HT208113
https://support.apple.com/ru-ru/HT208112

Для Debian:
https://lists.debian.org/debian-lts-announce/2019/03/msg00027.html
https://lists.debian.org/debian-lts-announce/2020/01/msg00030.html

Для продуктов Novell Inc.:
https://lists.opensuse.org/archives/list/updates@lists.opensuse.org/message/MRDJW3XPN3FW5WF3DYT3WFOMUPP6KZBF/
https://lists.opensuse.org/archives/list/updates@lists.opensuse.org/message/OMSIGJVQEP2NTF5TWWHTMFKCQAJECWL4/
https://lists.opensuse.org/archives/list/updates@lists.opensuse.org/message/BZLCLEULOCMWPTCCKHV4XUTP4TXOHF66/

Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2016-9842

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения rsync до версии 3.2.6-1
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
http://lists.opensuse.org/opensuse-updates/2016-12/msg00127.html
http://lists.opensuse.org/opensuse-updates/2017-01/msg00050.html
http://lists.opensuse.org/opensuse-updates/2017-01/msg00053.html
http://www.openwall.com/lists/oss-security/2016/12/05/21
http://www.securityfocus.com/bid/95131
http://www.securitytracker.com/id/1039427
https://bugzilla.redhat.com/show_bug.cgi?id=1402348
https://github.com/madler/zlib/commit/e54e1299404101a5a9d0cf5e45512b543967f958
https://security.gentoo.org/glsa/201701-56
https://wiki.mozilla.org/images/0/09/Zlib-report.pdf
https://wiki.mozilla.org/MOSS/Secure_Open_Source/Completed#zlib
https://ubuntu.com/security/notices/USN-4292-1
https://ubuntu.com/security/notices/USN-4246-1
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpuoct2017.html
https://www.oracle.com/security-alerts/cpuoct2018.html
https://support.apple.com/ru-ru/HT208144
https://support.apple.com/ru-ru/HT208115
https://support.apple.com/ru-ru/HT208113
https://support.apple.com/ru-ru/HT208112
https://lists.debian.org/debian-lts-announce/2019/03/msg00027.html
https://lists.debian.org/debian-lts-announce/2020/01/msg00030.html
https://lists.opensuse.org/archives/list/updates@lists.opensuse.org/message/MRDJW3XPN3FW5WF3DYT3WFOMUPP6KZBF/
https://lists.opensuse.org/archives/list/updates@lists.opensuse.org/message/OMSIGJVQEP2NTF5TWWHTMFKCQAJECWL4/
https://lists.opensuse.org/archives/list/updates@lists.opensuse.org/message/BZLCLEULOCMWPTCCKHV4XUTP4TXOHF66/
https://access.redhat.com/security/cve/CVE-2016-9842
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.6/
Идентификаторы других систем описаний уязвимостей
Прочая информация -
Последние изменения