БДУ - Уязвимости

BDU:2019-02420: Уязвимость консоли управления СЗИ (GManager.exe) системы защиты информации от несанкционированного доступа Страж NT, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости	Уязвимость консоли управления (GManager.exe) системы защиты информации от несанкционированного доступа Страж NT связана с некорректной обработкой данных читаемых с именованного канала. Эксплуатация уязвимости может позволить нарушителю, действующему локально, вызвать отказ в обслуживании
Вендор	ООО «Рубинтех»
Наименование ПО	Страж NT версия 4.0 (запись в едином реестре российских программ №3369)
Версия ПО	до 4.0.0.25
Тип ПО	Программное средство защиты
Операционные системы и аппаратные платформы	Microsoft Corp. Windows 8.1 64-bit Microsoft Corp. Windows 8.1 32-bit Microsoft Corp. Windows 7 Home 64-bit Microsoft Corp. Windows 7 Home 32-bit Microsoft Corp. Windows 7 Pro 64-bit Microsoft Corp. Windows 7 Pro 32-bit Microsoft Corp. Windows 7 Enterprise 64-bit Microsoft Corp. Windows 7 Enterprise 32-bit Microsoft Corp. Windows 7 Ultimate 64-bit Microsoft Corp. Windows 7 Ultimate 32-bit Microsoft Corp. Windows 8.1 Core 64-bit Microsoft Corp. Windows 8.1 Core 32-bit Microsoft Corp. Windows 8.1 Pro 64-bit Microsoft Corp. Windows 8.1 Pro 32-bit Microsoft Corp. Windows 8.1 Enterprise 64-bit Microsoft Corp. Windows 8.1 Enterprise 32-bit Microsoft Corp. Windows 10 Home 64-bit Microsoft Corp. Windows 10 Home 32-bit Microsoft Corp. Windows Pro 10 64-bit Microsoft Corp. Windows Pro 10 32-bit Microsoft Corp. Windows 10 Enterprise 64-bit Microsoft Corp. Windows 10 Enterprise 32-bit Microsoft Corp. Windows Server 2008 R2 Standard Edition 64-bit Microsoft Corp. Windows Server 2008 R2 Enterprise Edition 64-bit Microsoft Corp. Windows Server 2008 R2 Datacenter Edition 64-bit Microsoft Corp. Windows Server 2012 R2 Standard 64-bit Microsoft Corp. Windows Server 2012 R2 Essentials 64-bit Microsoft Corp. Windows Server 2012 R2 Datacenter 64-bit
Тип ошибки	Чтение за границами буфера
Идентификатор типа ошибки	CWE-125
Класс уязвимости	Уязвимость кода
Дата выявления	20.12.2018
Базовый вектор уязвимости	CVSS 2.0: AV:L/AC:M/Au:S/C:N/I:N/A:C CVSS 3.0: AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,4) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,5)
Возможные меры по устранению уязвимости	Обновление программного обеспечения до версии 4.0.0.25. Дистрибутив доступен по ссылке: http://guardnt.ru/gnt_40.html?7#4025
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Существует
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	Данные уточняются
Идентификаторы других систем описаний уязвимостей	Данные уточняются
Прочая информация	-

Последние изменения

22.09.2023 Уязвимость плагина Airflow Sqoop Provider программного обеспечения создания, мониторинга и оркестрации сценариев обработки данных Airflow, позволяющая нарушителю выполнить произвольный код
22.09.2023 Уязвимость микропрограммного обеспечения серверов последовательных интерфейсов Advantech EKI-1524, EKI-1522, EKI-1521, позволяющая нарушителю выполнять произвольные команды
22.09.2023 Уязвимость антивирусных программных средств Trend Micro Apex One и Apex One as a Service, связанная с возможностью обхода пути, позволяющая нарушителю выполнить произвольный код с системными привилегиями
22.09.2023 Уязвимость функции kmalloc_reserve() в модуле net/core/skbuff.c сетевой подсистемы ядра операционной системы Linux, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
22.09.2023 Уязвимость платформы управления жизненным циклом приложений для разработки продуктов и программного обеспечения PTC Codebeamer, существующая из-за непринятия мер по защите структуры веб-страницы, позволяющая нарушителю выполнить произвольный код
22.09.2023 Уязвимость сценария compress-inc.php приложения для загрузки и скачивания файлов для совместного использования Openupload, позволяющая нарушителю выполнить произвольный код
22.09.2023 Уязвимость сценария H5/hi_block.asp микропрограммного обеспечения маршрутизаторов D-Link DI-7200G V2.E1, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
22.09.2023 Уязвимость микропрограммного обеспечения маршрутизаторов TP-LINK TL-ER5120G, связанная с недостатками процедуры аутентификации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
22.09.2023 Уязвимость VPN-сервиса HPE Aruba Networking Virtual Intranet Access Client (VIA), связанная с недостатками разграничения доступа, позволяющая нарушителю вызвать отказ в обслуживании
22.09.2023 Уязвимость компонента builtin.c утиилиты переформатирования данных по заданным шаблонам Gawk, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации или вызвать отказ в обслуживании

Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»