BDU:2019-03793: Уязвимость функции tftp_receive_packet() библиотеки libcurl, связанная с выходом операции за границы буфера в памяти, позволяющая нарушителю вызвать отказ в обслуживании или выполнить произвольный код

Описание уязвимости

Уязвимость функции tftp_receive_packet() библиотеки libcurl связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании или выполнить произвольный код

Вендор

ООО «РусБИТех-Астра», Novell Inc., Oracle Corp., Fedora Project, Дэниел Стенберг, АО «Концерн ВНИИНС»

Наименование ПО

Astra Linux Special Edition (запись в едином реестре российских программ №369), OpenSUSE Leap, Enterprise Manager Ops Center, Suse Linux Enterprise Desktop, SUSE Enterprise Storage, SUSE Linux Enterprise Server for SAP Applications, SUSE Linux Enterprise Software Development Kit, SUSE OpenStack Cloud, SUSE Linux Enterprise Module for Open Buildservice Development Tools, Suse Linux Enterprise Server, Fedora, Libcurl, SUSE Linux Enterprise Module for Basesystem, SUSE CaaS Platform, SUSE Linux Enterprise Point of Sale, OpenStack Cloud Magnum Orchestration, MySQL Server, ОС ОН «Стрелец» (запись в едином реестре российских программ №6177)

Версия ПО

  • 1.5 «Смоленск» (Astra Linux Special Edition)
  • 42.3 (OpenSUSE Leap)
  • 12.3.3 (Enterprise Manager Ops Center)
  • 12 SP3 (Suse Linux Enterprise Desktop)
  • 12 SP4 (Suse Linux Enterprise Desktop)
  • 4 (SUSE Enterprise Storage)
  • 12 SP2 (SUSE Linux Enterprise Server for SAP Applications)
  • 12 SP2-BCL (SUSE Linux Enterprise Server for SAP Applications)
  • 12 SP2-ESPOS (SUSE Linux Enterprise Server for SAP Applications)
  • 12 SP2-LTSS (SUSE Linux Enterprise Server for SAP Applications)
  • 12 SP3 (SUSE Linux Enterprise Server for SAP Applications)
  • 12 SP4 (SUSE Linux Enterprise Server for SAP Applications)
  • 12 SP3 (SUSE Linux Enterprise Software Development Kit)
  • 12 SP4 (SUSE Linux Enterprise Software Development Kit)
  • 7 (SUSE OpenStack Cloud)
  • 15 (SUSE Linux Enterprise Module for Open Buildservice Development Tools)
  • 12 SP3 (Suse Linux Enterprise Server)
  • 12 SP4 (Suse Linux Enterprise Server)
  • 11 SP4 (Suse Linux Enterprise Server)
  • 29 (Fedora)
  • от 7.19.4 до 7.64.1 включительно (Libcurl)
  • 15.0 (OpenSUSE Leap)
  • 15 (SUSE Linux Enterprise Module for Basesystem)
  • 15 SP1 (SUSE Linux Enterprise Module for Basesystem)
  • 3.0 (SUSE CaaS Platform)
  • 12 SP2-CLIENT (SUSE Linux Enterprise Point of Sale)
  • 12 SP2-BCL (Suse Linux Enterprise Server)
  • 12 SP2-ESPOS (Suse Linux Enterprise Server)
  • 11 SP3 (SUSE Linux Enterprise Point of Sale)
  • 12-LTSS (Suse Linux Enterprise Server)
  • 12 SP1 (SUSE Linux Enterprise Server for SAP Applications)
  • 12 SP1-LTSS (SUSE Linux Enterprise Server for SAP Applications)
  • 12-LTSS (SUSE Linux Enterprise Server for SAP Applications)
  • 15 SP1 (SUSE Linux Enterprise Module for Open Buildservice Development Tools)
  • 15.1 (OpenSUSE Leap)
  • 12 SP1-LTSS (Suse Linux Enterprise Server)
  • 12 SP2-LTSS (Suse Linux Enterprise Server)
  • 11 SP4-LTSS (SUSE Linux Enterprise Server for SAP Applications)
  • 12.4.0 (Enterprise Manager Ops Center)
  • 7 (OpenStack Cloud Magnum Orchestration)
  • 11-SECURITY (Suse Linux Enterprise Server)
  • 11-SECURITY (SUSE Linux Enterprise Server for SAP Applications)
  • до 5.7.27 включительно (MySQL Server)
  • до 8.0.17 (MySQL Server)
  • до 8.0.17 включительно (MySQL Server)
  • 1.0 (ОС ОН «Стрелец»)

Тип ПО

Операционная система, Сетевое программное средство, ПО программно-аппаратного средства, Прикладное ПО информационных систем, СУБД

Операционные системы и аппаратные платформы

  • ООО «РусБИТех-Астра» Astra Linux Special Edition 1.5 «Смоленск» (запись в едином реестре российских программ №369)
  • Novell Inc. OpenSUSE Leap 42.3
  • Novell Inc. Suse Linux Enterprise Desktop 12 SP3
  • Novell Inc. Suse Linux Enterprise Desktop 12 SP4
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2-BCL
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2-ESPOS
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2-LTSS
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4
  • Novell Inc. Suse Linux Enterprise Server 12 SP3
  • Novell Inc. Suse Linux Enterprise Server 12 SP4
  • Novell Inc. Suse Linux Enterprise Server 11 SP4
  • Fedora Project Fedora 29
  • Novell Inc. OpenSUSE Leap 15.0 32-bit
  • Novell Inc. Suse Linux Enterprise Server 12 SP2-BCL
  • Novell Inc. Suse Linux Enterprise Server 12 SP2-ESPOS
  • Novell Inc. Suse Linux Enterprise Server 12-LTSS
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP1
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP1-LTSS
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12-LTSS
  • Novell Inc. OpenSUSE Leap 15.1
  • Novell Inc. Suse Linux Enterprise Server 12 SP1-LTSS
  • Novell Inc. Suse Linux Enterprise Server 12 SP2-LTSS
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 11 SP4-LTSS
  • Novell Inc. Suse Linux Enterprise Server 11-SECURITY
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 11-SECURITY
  • АО «Концерн ВНИИНС» ОС ОН «Стрелец» 1.0 (запись в едином реестре российских программ №6177)

Тип ошибки

Выход операции за границы буфера в памяти

Идентификатор типа ошибки

Класс уязвимости

Уязвимость кода

Дата выявления

28.05.2019

Базовый вектор уязвимости

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
Для libcurl:
https://curl.haxx.se/docs/CVE-2019-5436.html

Для программных продуктов Oracle Corp.:
https://www.oracle.com/technetwork/topics/security/public-vuln-to-advisory-mapping-093627.html

Для программных продуктов Fedora Project:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/SMG3V4VTX2SE3EW3HQTN3DDLQBTORQC2/

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2019-5436/

Для Astra Linux:
Обновление программного обеспечения (пакета curl) до 7.52.1-5+deb9u10 или более поздней версии

Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Способ эксплуатации

  • Манипулирование структурами данных

Способ устранения

Обновление программного обеспечения

Информация об устранении

Уязвимость устранена

Идентификаторы других систем описаний уязвимостей

Прочая информация

Данные уточняются
Последние изменения