BDU:2019-01240: Уязвимость функции elf32_xlatetom в пакете elfutils, связанная с возможностью выхода операции за границы буфера в памяти, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости Уязвимость функции elf32_xlatetom в libelf в пакете elfutils связана с возможностью выхода операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании специально подготовленным ELF файлом
Вендор ООО «РусБИТех-Астра», Siemens AG, GNU General Public License
Наименование ПО Astra Linux Special Edition (запись в едином реестре российских программ №369), SIMATIC S7-1500 CPU 1518(F)-4 PN/DP MFP, elfutils, Astra Linux Common Edition (запись в едином реестре российских программ №4433)
Версия ПО
  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • V2.6.0 (SIMATIC S7-1500 CPU 1518(F)-4 PN/DP MFP)
  • 0.175 (elfutils)
  • 2.12 «Орёл» (Astra Linux Common Edition)
Тип ПО Операционная система, ПО программно-аппаратного средства АСУ ТП, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Тип ошибки Выход операции за границы буфера в памяти
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 12.03.2019
Базовый вектор уязвимости
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,9)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,5)
Возможные меры по устранению уязвимости
Обновление elfutils до версии выше 0.175:
https://www.elfutils.org

Компенсирующие меры для SIMATIC S7-1500 CPU 1518(F)-4 PN/DP MFP:
Следовать рекомендациям производителя:
https://www.siemens.com/cert/operational-guidelines-industrial-security
Использование приложений только из надежных источников

Для Astra Linux:
Обновление программного обеспечения (пакета elfutils) до 0.176-1.1 или более поздней версии
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Организационные меры
Информация об устранении Информация об устранении отсутствует
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения