Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2019-02927: Уязвимость функции mwifiex_update_bss_desc_with_ie ядра операционной системы Linux, позволяющая нарушителю повысить свои привилегии, вызвать отказ в обслуживании или выполнить произвольный код

Описание уязвимости	Уязвимость функции mwifiex_update_bss_desc_with_ie (marvell/mwifiex/scan.c) ядра операционной системы Linux вызвана выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, повысить свои привилегии, вызвать отказ в обслуживании или выполнить произвольный код
Вендор	АО «НПО РусБИТех», Canonical Ltd., Сообщество свободного программного обеспечения, Novell Inc., Red Hat Inc., Fedora Project
Наименование ПО	Astra Linux, Ubuntu, Linux, OpenSUSE Leap, Red Hat Enterprise Linux, Fedora, Debian GNU/Linux
Версия ПО	1.5 «Смоленск» (Astra Linux) 16.04 LTS (Ubuntu) - (Linux) 42.3 (OpenSUSE Leap) 6.0 (Red Hat Enterprise Linux) 7.0 (Red Hat Enterprise Linux) 18.04 LTS (Ubuntu) 29 (Fedora) 8.0 (Red Hat Enterprise Linux) 15.0 (OpenSUSE Leap) 15.1 (OpenSUSE Leap) 30 (Fedora) 8.0 (Debian GNU/Linux) 9.0 (Debian GNU/Linux) 10.0 (Debian GNU/Linux)
Тип ПО	Операционная система
Операционные системы и аппаратные платформы	АО «НПО РусБИТех» Astra Linux 1.5 «Смоленск» Canonical Ltd. Ubuntu 16.04 LTS Сообщество свободного программного обеспечения Linux - Novell Inc. OpenSUSE Leap 42.3 Red Hat Inc. Red Hat Enterprise Linux 6.0 Red Hat Inc. Red Hat Enterprise Linux 7.0 Canonical Ltd. Ubuntu 18.04 LTS Fedora Project Fedora 29 Red Hat Inc. Red Hat Enterprise Linux 8.0 Novell Inc. OpenSUSE Leap 15.0 Novell Inc. OpenSUSE Leap 15.1 Fedora Project Fedora 30 Сообщество свободного программного обеспечения Debian GNU/Linux 8 Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 Сообщество свободного программного обеспечения Debian GNU/Linux 9.0 Сообщество свободного программного обеспечения Debian GNU/Linux 10.0
Тип ошибки	Выход операции за границы буфера в памяти
Идентификатор типа ошибки	CWE-119
Класс уязвимости	Уязвимость кода
Дата выявления	22.05.2019
Базовый вектор уязвимости	AV:A/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,3) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для Linux: Обновление программного обеспечения до 3.16.68-2 или более поздней версии https://lore.kernel.org/linux-wireless/20190529125220.17066-1-tiwai@suse.de/ Для Ubuntu: https://usn.ubuntu.com/4093-1/ https://usn.ubuntu.com/4094-1/ https://usn.ubuntu.com/4095-1/ https://usn.ubuntu.com/4095-2/ Для программных продуктов Red Hat Inc.: https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-3846 Для программных продуктов Novell Inc.: http://lists.opensuse.org/opensuse-security-announce/2019-06/msg00039.html http://lists.opensuse.org/opensuse-security-announce/2019-06/msg00040.html http://lists.opensuse.org/opensuse-security-announce/2019-06/msg00048.html Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/J36BIJTKEPUOZKJNHQBUZA47RQONUKOI/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/KLGWJKLMTBBB53D5QLS4HOY2EH246WBE/ Для Debian: Обновление программного обеспечения (пакета Linux) до 3.16.68-2 или более поздней версии Для Astra Linux: Обновление программного обеспечения (пакета Linux) до 3.16.68-2 или более поздней версии
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Существует в открытом доступе
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://nvd.nist.gov/vuln/detail/CVE-2019-3846 https://security-tracker.debian.org/tracker/CVE-2019-3846 https://seclists.org/oss-sec/2019/q2/133 http://lists.opensuse.org/opensuse-security-announce/2019-06/msg00039.html http://lists.opensuse.org/opensuse-security-announce/2019-06/msg00040.html http://lists.opensuse.org/opensuse-security-announce/2019-06/msg00048.html http://packetstormsecurity.com/files/153702/Slackware-Security-Advisory-Slackware-14.2-kernel-Updates.html https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-3846 https://lists.debian.org/debian-lts-announce/2019/06/msg00010.html https://lists.debian.org/debian-lts-announce/2019/06/msg00011.html https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/J36BIJTKEPUOZKJNHQBUZA47RQONUKOI/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/KLGWJKLMTBBB53D5QLS4HOY2EH246WBE/ https://seclists.org/bugtraq/2019/Jul/33 https://seclists.org/bugtraq/2019/Jun/26 https://seclists.org/oss-sec/2019/q2/133 https://security.netapp.com/advisory/ntap-20190710-0002 https://www.debian.org/security/2019/dsa-4465 https://usn.ubuntu.com/4093-1/ https://usn.ubuntu.com/4094-1/ https://usn.ubuntu.com/4095-1/ https://usn.ubuntu.com/4095-2/ https://lore.kernel.org/linux-wireless/20190529125220.17066-1-tiwai@suse.de/ https://wiki.astralinux.ru/astra-linux-se15-bulletin-20201201SE15
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2019-3846
Прочая информация	-

Последние изменения