BDU:2019-02960: Уязвимость серверного процесса svnserve централизованной системы управления версиями Subversion, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости Уязвимость серверного процесса svnserve централизованной системы управления версиями Subversion существует из-за недостаточной проверки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании
Вендор Red Hat Inc., Canonical Ltd., Novell Inc., Сообщество свободного программного обеспечения, Apache Software Foundation
Наименование ПО Red Hat Enterprise Linux, Ubuntu, SUSE Linux Enterprise Software Development Kit, Debian GNU/Linux, SUSE Linux Enterprise Module for Open Buildservice Development Tools, SUSE Linux Enterprise Module for Basesystem, OpenSUSE Leap, SUSE Linux Enterprise Module for Development Tools, SUSE Linux Enterprise Module for Server Applications, Subversion
Версия ПО
  • 7 (Red Hat Enterprise Linux)
  • 16.04 LTS (Ubuntu)
  • 12 SP4 (SUSE Linux Enterprise Software Development Kit)
  • 8.0 (Debian GNU/Linux)
  • 15 (SUSE Linux Enterprise Module for Open Buildservice Development Tools)
  • 12.04 ESM (Ubuntu)
  • 8 (Red Hat Enterprise Linux)
  • 15 (SUSE Linux Enterprise Module for Basesystem)
  • 15 SP1 (SUSE Linux Enterprise Module for Basesystem)
  • 15.0 (OpenSUSE Leap)
  • 15 (SUSE Linux Enterprise Module for Development Tools)
  • 15 SP1 (SUSE Linux Enterprise Module for Development Tools)
  • 15 SP1 (SUSE Linux Enterprise Module for Open Buildservice Development Tools)
  • 15.1 (OpenSUSE Leap)
  • 15 SP1 (SUSE Linux Enterprise Module for Server Applications)
  • 15 (SUSE Linux Enterprise Module for Server Applications)
  • до 1.9.10 включительно (Subversion)
  • от 1.10.0 до 1.10.4 включительно (Subversion)
  • от 1.11.0 до 1.11.1 включительно (Subversion)
  • от 1.12.0 до 1.12.0 включительно (Subversion)
  • до 1.9.5-1+deb9u4 (stretch) (Debian GNU/Linux)
  • до 1.10.4-1+deb10u1 (buster) (Debian GNU/Linux)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Данные уточняются
Тип ошибки Недостаточная проверка вводимых данных
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 07.08.2019
Базовый вектор уязвимости
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)
Возможные меры по устранению уязвимости
Использование рекомендаций:


Для Subversion:

https://subversion.apache.org/security/CVE-2018-11782-advisory.txt



Для программных продуктов Red Hat Inc.:

https://access.redhat.com/security/cve/cve-2018-11782



Для программных продуктов Canonical Ltd.:

https://www.debian.org/security/2019/dsa-4490



Для программных продуктов Ubuntu:

https://usn.ubuntu.com/4082-2/

https://usn.ubuntu.com/4082-1/



Для программных продуктов Novell Inc.:

https://www.suse.com/security/cve/CVE-2018-11782/

Для Debian:
Обновление программного обеспечения (пакета subversion) до 1.8.10-6+deb8u7 или более поздней версии
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование ресурсами
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация -
Последние изменения