Описание уязвимости |
Уязвимость функций getcwd и realpath библиотеки, обеспечивающей системные вызовы и основные функции glibc вызвана выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код с помощью специально сформированного SUID-файла |
Вендор
|
ООО «РусБИТех-Астра», The GNU Project, ООО «Ред Софт», ООО «НТЦ ИТ РОСА» |
Наименование ПО
|
Astra Linux Special Edition (запись в едином реестре российских программ №369), glibc, РЕД ОС (запись в едином реестре российских программ №3751), РОСА Кобальт (запись в едином реестре российских программ №1999) |
Версия ПО
|
- 1.5 «Смоленск» (Astra Linux Special Edition)
- до 2.26 включительно (glibc)
- до 7.2 Муром (РЕД ОС)
- - (РОСА Кобальт)
|
Тип ПО
|
Операционная система, Прикладное ПО информационных систем |
Операционные системы и аппаратные платформы
|
|
Тип ошибки |
Выход операции за границы буфера в памяти |
Идентификатор типа ошибки
|
|
Класс уязвимости
|
Уязвимость кода |
Дата выявления |
07.01.2018 |
Базовый вектор уязвимости
|
|
Уровень опасности уязвимости
|
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,2)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8) |
Возможные меры по устранению уязвимости |
Для glibs
Обновление программного обеспечения до 2.26 или более поздней версии
Для Astra Linux:
Обновление программного обеспечения (пакета eglibs) до 2.27-5 или более поздней версии
Для РЕД ОС:
Обновление операционной системы до версии 7.2 Муром
Для ОС РОСА КОБАЛЬТ:
http://wiki.rosalab.ru/ru/index.php/ROSA-SA-18-03-23.001
|
Статус уязвимости
|
Подтверждена производителем |
Наличие эксплойта |
Существует в открытом доступе |
Способ эксплуатации |
- Манипулирование структурами данных
|
Способ устранения |
Обновление программного обеспечения |
Информация об устранении |
Уязвимость устранена |
Ссылки на источники |
|
Идентификаторы других систем описаний уязвимостей
|
|
Прочая информация |
- |