Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2019-03590: Уязвимость механизма отображения веб-страниц Blink веб-браузера Google Chrome, позволяющая нарушителю оказать воздействие на целостность данных, получить несанкционированный доступ к защищаемой информации, а также вызвать отказ в обслуживании

Описание уязвимости	Уязвимость механизма отображения веб-страниц Blink веб-браузера Google Chrome связана с ошибкой обработки политики Cross-Origin Resource Sharing (CORS). Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на целостность данных, получить несанкционированный доступ к защищаемой информации, а также вызвать отказ в обслуживании с помощью специально созданной HTML-страницы
Вендор	Сообщество свободного программного обеспечения, Novell Inc., ООО «РусБИТех-Астра», Red Hat Inc., Fedora Project, Google Inc., АО «Концерн ВНИИНС»
Наименование ПО	Debian GNU/Linux, OpenSUSE Leap, Astra Linux Special Edition (запись в едином реестре российских программ №369), Red Hat Enterprise Linux, Fedora, SUSE Package Hub for SUSE Linux Enterprise, Google Chrome, ОС ОН «Стрелец» (запись в едином реестре российских программ №6177)
Версия ПО	9 (Debian GNU/Linux) 42.3 (OpenSUSE Leap) 1.6 «Смоленск» (Astra Linux Special Edition) Desktop 6.0 (Red Hat Enterprise Linux) Server 6.0 (Red Hat Enterprise Linux) Workstation 6.0 (Red Hat Enterprise Linux) 8.0 (Debian GNU/Linux) 29 (Fedora) 15.0 (OpenSUSE Leap) 15.1 (OpenSUSE Leap) 30 (Fedora) 12 SP3 (SUSE Package Hub for SUSE Linux Enterprise) до 74.0.3729.108 (Google Chrome) 1.0 (ОС ОН «Стрелец»)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Сообщество свободного программного обеспечения Debian GNU/Linux 9 Novell Inc. OpenSUSE Leap 42.3 ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369) Red Hat Inc. Red Hat Enterprise Linux Desktop 6.0 Red Hat Inc. Red Hat Enterprise Linux Server 6.0 Red Hat Inc. Red Hat Enterprise Linux Workstation 6.0 Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 Fedora Project Fedora 29 Novell Inc. OpenSUSE Leap 15.0 Novell Inc. OpenSUSE Leap 15.1 Fedora Project Fedora 30 АО «Концерн ВНИИНС» ОС ОН «Стрелец» 1.0 (запись в едином реестре российских программ №6177)
Тип ошибки	Неправильный контроль доступа
Идентификатор типа ошибки	CWE-284
Класс уязвимости	Уязвимость кода
Дата выявления	01.08.2019
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C CVSS 3.0: AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для Google Chrome: https://chromereleases.googleblog.com/2019/04/stable-channel-update-for-desktop_23.html Для Debian: https://www.debian.org/security/2019/dsa-4500 https://security-tracker.debian.org/tracker/CVE-2019-5822 Для Astra Linux: https://wiki.astralinux.ru/pages/viewpage.action?pageId=57444186 Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/CPM7VPE27DUNJLXM4F5PAAEFFWOEND6X/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/FKN4GPMBQ3SDXWB4HL45II5CZ7P2E4AI/ Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2019-5822 Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2019-5822/ Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Существует в открытом доступе
Способ эксплуатации	Нарушение авторизации
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://nvd.nist.gov/vuln/detail/CVE-2019-5822 https://security-tracker.debian.org/tracker/CVE-2019-5822 https://crbug.com/926105 https://www.debian.org/security/2019/dsa-4500 https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/CPM7VPE27DUNJLXM4F5PAAEFFWOEND6X/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/FKN4GPMBQ3SDXWB4HL45II5CZ7P2E4AI/ https://access.redhat.com/security/cve/CVE-2019-5822 https://www.suse.com/security/cve/CVE-2019-5822/ https://chromereleases.googleblog.com/2019/04/stable-channel-update-for-desktop_23.html https://wiki.astralinux.ru/pages/viewpage.action?pageId=57444186 https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2019-5822
Прочая информация	Данные уточняются

Последние изменения