Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2019-01338: Уязвимость библиотеки Polkit операционных систем Linux, позволяющая нарушителю выполнить произвольные команды

Описание уязвимости	Уязвимость библиотеки Polkit операционных систем Linux связана с недостатками контроля доступа. Эксплуатация уязвимости может позволить нарушителю выполнить произвольные команды
Вендор	Red Hat Inc., Canonical Ltd., Сообщество свободного программного обеспечения, Novell Inc., ООО «РусБИТех-Астра»
Наименование ПО	Red Hat Enterprise Linux, Ubuntu, Debian GNU/Linux, Polkit, OpenSUSE Leap, Astra Linux
Версия ПО	Desktop 6 (Red Hat Enterprise Linux) Workstation 6 (Red Hat Enterprise Linux) Desktop 7 (Red Hat Enterprise Linux) Workstation 7 (Red Hat Enterprise Linux) 14.04 LTS (Ubuntu) 16.04 LTS (Ubuntu) 18.04 LTS (Ubuntu) 18.10 (Ubuntu) Server 6.0 (Red Hat Enterprise Linux) 8.0 (Debian GNU/Linux) 0.115 (Polkit) 12.04 ESM (Ubuntu) Server 7.0 (Red Hat Enterprise Linux) Server 7.6 (Red Hat Enterprise Linux) Server AUS 7.6 (Red Hat Enterprise Linux) Server EUS 7.6 (Red Hat Enterprise Linux) Server TUS 7.6 (Red Hat Enterprise Linux) 15.1 (OpenSUSE Leap) 15.2 (OpenSUSE Leap) 2.12 «Орел» (Astra Linux)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Red Hat Inc. Red Hat Enterprise Linux Desktop 6 Red Hat Inc. Red Hat Enterprise Linux Workstation 6 Red Hat Inc. Red Hat Enterprise Linux Desktop 7 Red Hat Inc. Red Hat Enterprise Linux Workstation 7 Canonical Ltd. Ubuntu 14.04 LTS Canonical Ltd. Ubuntu 16.04 LTS Canonical Ltd. Ubuntu 18.04 LTS Canonical Ltd. Ubuntu 18.10 Red Hat Inc. Red Hat Enterprise Linux Server 6.0 Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 Canonical Ltd. Ubuntu 12.04 ESM Red Hat Inc. Red Hat Enterprise Linux Server 7.0 Red Hat Inc. Red Hat Enterprise Linux Server 7.6 Red Hat Inc. Red Hat Enterprise Linux Server AUS 7.6 Red Hat Inc. Red Hat Enterprise Linux Server EUS 7.6 Red Hat Inc. Red Hat Enterprise Linux Server TUS 7.6 Novell Inc. OpenSUSE Leap 15.1 Novell Inc. OpenSUSE Leap 15.2 ООО «РусБИТех-Астра» Astra Linux 2.12 «Орел»
Тип ошибки	Неправильный контроль доступа
Идентификатор типа ошибки	CWE-284
Класс уязвимости	Уязвимость архитектуры
Дата выявления	11.10.2018
Базовый вектор уязвимости	AV:L/AC:M/Au:N/C:P/I:P/A:P
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,4) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,7)
Возможные меры по устранению уязвимости	Использование рекомендаций Для Polkit: https://gitlab.freedesktop.org/polkit/polkit/commit/c898fdf4b1aafaa04f8ada9d73d77c8bb76e2f81 https://gitlab.freedesktop.org/polkit/polkit/merge_requests/19 Для Linux: Обновление программного обеспечения до 4.19.152-1 или более поздней версии Для Debian: Обновление программного обеспечения (пакета linux) до 4.19.152-1 или более поздней версии Для Astra Linux: Обновление программного обеспечения (пакета linux) до 4.19.152-1 или более поздней версии Для Ubuntu: https://usn.ubuntu.com/3901-1/ https://usn.ubuntu.com/3901-2/ https://usn.ubuntu.com/3903-1/ https://usn.ubuntu.com/3903-2/ https://usn.ubuntu.com/3908-1/ https://usn.ubuntu.com/3908-2/ https://usn.ubuntu.com/3910-1/ https://usn.ubuntu.com/3910-2/ https://usn.ubuntu.com/3934-1/ https://usn.ubuntu.com/3934-2/ Для программных продуктов Red Hat Inc.: https://access.redhat.com/errata/RHSA-2019:0230 https://access.redhat.com/errata/RHSA-2019:0420 https://access.redhat.com/errata/RHSA-2019:0832 https://access.redhat.com/errata/RHSA-2019:2699 https://access.redhat.com/errata/RHSA-2019:2978 Для программных продуктов Novell Inc.: https://lists.opensuse.org/opensuse-security-announce/2019-08/msg00049.html
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Нарушение авторизации
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	http://www.securityfocus.com/bid/106537 https://access.redhat.com/errata/RHSA-2019:0230 https://access.redhat.com/errata/RHSA-2019:0420 https://bugs.chromium.org/p/project-zero/issues/detail?id=1692 https://git.kernel.org/linus/7b55851367136b1efd84d98fea81ba57a98304cf https://gitlab.freedesktop.org/polkit/polkit/commit/c898fdf4b1aafaa04f8ada9d73d77c8bb76e2f81 https://gitlab.freedesktop.org/polkit/polkit/merge_requests/19 https://lists.debian.org/debian-lts-announce/2019/01/msg00021.html https://support.f5.com/csp/article/K22715344 https://usn.ubuntu.com/3901-1/ https://usn.ubuntu.com/3901-2/ https://usn.ubuntu.com/3903-1/ https://usn.ubuntu.com/3903-2/ https://usn.ubuntu.com/3908-1/ https://usn.ubuntu.com/3908-2/ https://usn.ubuntu.com/3910-1/ https://usn.ubuntu.com/3910-2/ https://usn.ubuntu.com/3934-1/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2019-6133
Прочая информация	-

Последние изменения