Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2019-03630: Уязвимость модуля vhost_net ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости	Уязвимость модуля vhost_net ядра операционной системы Linux связана с неконтролируемым расходом ресурса при обработке входящих пакетов в handle_rx(). Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Вендор	АО «НПО РусБИТех», Red Hat Inc., Canonical Ltd., Fedora Project, Novell Inc., Oracle Corp., Сообщество свободного программного обеспечения
Наименование ПО	Astra Linux, Red Hat Enterprise Linux, Ubuntu, Fedora, Suse Linux Enterprise Desktop, SUSE Linux Enterprise Server for SAP Applications, SUSE Linux Enterprise Module for Basesystem, SUSE Linux Enterprise High Performance Computing, Oracle Linux, Linux, SUSE Linux Enterprise Module for Development Tools, Debian GNU/Linux
Версия ПО	1.5 «Смоленск» (Astra Linux) 6 (Red Hat Enterprise Linux) 7 (Red Hat Enterprise Linux) 16.04 LTS (Ubuntu) 18.04 LTS (Ubuntu) 28 (Fedora) 12 SP3 (Suse Linux Enterprise Desktop) 12 SP4 (Suse Linux Enterprise Desktop) 12 SP2 (SUSE Linux Enterprise Server for SAP Applications) 12 SP3 (SUSE Linux Enterprise Server for SAP Applications) 12 SP4 (SUSE Linux Enterprise Server for SAP Applications) 15 GA (SUSE Linux Enterprise Module for Basesystem) 12 (SUSE Linux Enterprise High Performance Computing) 11 SP3 (SUSE Linux Enterprise Server for SAP Applications) 12 GA (SUSE Linux Enterprise Server for SAP Applications) 29 (Fedora) 19.04 (Ubuntu) 7 (Oracle Linux) 30 (Fedora) 7.4 EUS (Red Hat Enterprise Linux) 7.5 EUS (Red Hat Enterprise Linux) до 5.1 (Linux) 8 (poppler) (Oracle Linux) 15 GA (SUSE Linux Enterprise Module for Development Tools) 6 (Oracle Linux) 8.0 (Debian GNU/Linux) 9.0 (Debian GNU/Linux) 10.0 (Debian GNU/Linux)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	АО «НПО РусБИТех» Astra Linux 1.5 «Смоленск» Red Hat Inc. Red Hat Enterprise Linux 6 Red Hat Inc. Red Hat Enterprise Linux 7 Canonical Ltd. Ubuntu 16.04 LTS Canonical Ltd. Ubuntu 18.04 LTS Fedora Project Fedora 28 Novell Inc. Suse Linux Enterprise Desktop 12 SP3 Novell Inc. Suse Linux Enterprise Desktop 12 SP4 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4 Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 Сообщество свободного программного обеспечения Debian GNU/Linux 9.0 Novell Inc. SUSE Linux Enterprise Module for Basesystem 15 GA Novell Inc. SUSE Linux Enterprise High Performance Computing 12 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 11 SP3 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 GA Fedora Project Fedora 29 Canonical Ltd. Ubuntu 19.04 Oracle Corp. Oracle Linux 7 Fedora Project Fedora 30 Red Hat Inc. Red Hat Enterprise Linux 7.4 EUS Red Hat Inc. Red Hat Enterprise Linux 7.5 EUS Сообщество свободного программного обеспечения Linux до 5.1 Oracle Corp. Oracle Linux 8 (poppler) Novell Inc. SUSE Linux Enterprise Module for Development Tools 15 GA Oracle Corp. Oracle Linux 6 Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 Сообщество свободного программного обеспечения Debian GNU/Linux 9.0 Сообщество свободного программного обеспечения Debian GNU/Linux 10.0
Тип ошибки	Неконтролируемый расход ресурса («Истощение ресурса»)
Идентификатор типа ошибки	CWE-400
Класс уязвимости	Уязвимость кода
Дата выявления	12.07.2019
Базовый вектор уязвимости	AV:N/AC:L/Au:S/C:N/I:N/A:C
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для linux: Обновление программного обеспечения до 4.9.168-1+deb9u5 или более поздней версии https://www.spinics.net/lists/kernel/msg3111012.html Для Debian: Обновление программного обеспечения(пакета linux) до 4.9.168-1+deb9u5 или более поздней версии https://security-tracker.debian.org/tracker/CVE-2019-3900 Для Ubuntu: https://usn.ubuntu.com/4114-1/ https://usn.ubuntu.com/4115-1/ https://usn.ubuntu.com/4116-1/ https://usn.ubuntu.com/4117-1/ https://usn.ubuntu.com/4118-1/ https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-3900.html Для программных продуктов Red Hat Inc.: https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-3900 https://access.redhat.com/security/cve/cve-2019-3900 Для Fedora: https://bugzilla.redhat.com/show_bug.cgi?id=1702940 Для Oracle: https://linux.oracle.com/cve/CVE-2019-3900.html Для SUSE: https://www.suse.com/security/cve/CVE-2019-3900/ Для Astra Linux: Обновление программного обеспечения(пакета linux) до 4.9.168-1+deb9u5 или более поздней версии
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Исчерпание ресурсов
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://nvd.nist.gov/vuln/detail/CVE-2019-3900 https://security-tracker.debian.org/tracker/CVE-2019-3900 https://www.spinics.net/lists/kernel/msg3111012.htm l https://usn.ubuntu.com/4114-1/ https://usn.ubuntu.com/4115-1/ https://usn.ubuntu.com/4116-1/ https://usn.ubuntu.com/4117-1/ https://usn.ubuntu.com/4118-1/ https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-3900 https://access.redhat.com/security/cve/cve-2019-3900 https://linux.oracle.com/cve/CVE-2019-3900.html https://www.suse.com/security/cve/CVE-2019-3900/ https://wiki.astralinux.ru/astra-linux-se15-bulletin-20201201SE15
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2019-3900
Прочая информация	Данные уточняются

Последние изменения