BDU:2019-00570: Уязвимость функции proc_pid_stack ядра операционных систем Linux, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Описание уязвимости Уязвимость функции proc_pid_stack ядра операционных систем Linux связана с недостатками контроля доступа. Эксплуатация уязвимости может позволить нарушителю получить несанкционированный доступ к защищаемой информации
Вендор Red Hat Inc., Canonical Ltd., Siemens AG, Сообщество свободного программного обеспечения
Наименование ПО Red Hat Enterprise Linux, Ubuntu, SIMATIC S7-1500 CPU 1518(F)-4 PN/DP MFP, Linux, Debian, Red Hat Enterprise Virtualization Host
Версия ПО
  • Desktop 7 (Red Hat Enterprise Linux)
  • Workstation 7 (Red Hat Enterprise Linux)
  • 14.04 LTS (Ubuntu)
  • 16.04 LTS (Ubuntu)
  • 18.04 LTS (Ubuntu)
  • 18.10 (Ubuntu)
  • V2.6.0 (SIMATIC S7-1500 CPU 1518(F)-4 PN/DP MFP)
  • до 4.18.11 включительно (Linux)
  • 8.0 (Debian)
  • 12.04 ESM (Ubuntu)
  • Server 7.0 (Red Hat Enterprise Linux)
  • Server 7.6 (Red Hat Enterprise Linux)
  • Server AUS 7.6 (Red Hat Enterprise Linux)
  • Server EUS 7.6 (Red Hat Enterprise Linux)
  • Server TUS 7.6 (Red Hat Enterprise Linux)
  • 4.0 (Red Hat Enterprise Virtualization Host)
Тип ПО Операционная система, ПО программно-аппаратного средства АСУ ТП, ПО виртуализации/ПО виртуального программно-аппаратного средства
Операционные системы и аппаратные платформы
Данные уточняются
Тип ошибки Неправильный контроль доступа
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 14.11.2018
Базовый вектор уязвимости
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,5)
Возможные меры по устранению уязвимости
Обновление ядра Linux до версии выше 4.18.8:
https://www.kernel.org

Компенсирующие меры для SIMATIC S7-1500 CPU 1518(F)-4 PN/DP MFP:
Следовать рекомендациям производителя:
https://www.siemens.com/cert/operational-guidelines-industrial-security
Использование приложений только из надежных источников
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Нарушение аутентификации
Способ устранения Организационные меры
Информация об устранении Информация об устранении отсутствует
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения