БДУ - Уязвимости

BDU:2019-04445: Уязвимость подсистемы совместимости для запуска Linux-приложений Windows Subsystem for Linux (WSL) операционной системы Windows, позволяющая нарушителю повысить свои привилегии

Описание уязвимости	Уязвимость подсистемы совместимости для запуска Linux-приложений Windows Subsystem for Linux (WSL) операционной системы Windows вызвана ошибками синхронизации при использовании общего ресурса. Эксплуатация уязвимости может позволить нарушителю нарушителю повысить свои привилегии с помощью специально созданного приложения
Вендор	Microsoft Corp.
Наименование ПО	Windows
Версия ПО	10 1709 10 1803 Server 1803 Server Core Installation 10 1809 Server 2019 Server 2019 Server Core installation 10 1903 Server 1903 Server Core Installation
Тип ПО	Операционная система
Операционные системы и аппаратные платформы	Microsoft Corp. Windows 10 1709 64-bit Microsoft Corp. Windows 10 1709 32-bit Microsoft Corp. Windows 10 1803 64-bit Microsoft Corp. Windows 10 1803 32-bit Microsoft Corp. Windows Server 1803 Server Core Installation Microsoft Corp. Windows 10 1809 64-bit Microsoft Corp. Windows 10 1809 32-bit Microsoft Corp. Windows Server 2019 Microsoft Corp. Windows Server 2019 Server Core installation Microsoft Corp. Windows 10 1809 ARM64 Microsoft Corp. Windows 10 1709 ARM64 Microsoft Corp. Windows 10 1803 ARM64 Microsoft Corp. Windows 10 1903 32-bit Microsoft Corp. Windows 10 1903 64-bit Microsoft Corp. Windows 10 1903 ARM64 Microsoft Corp. Windows Server 1903 Server Core Installation
Тип ошибки	Небезопасное управление привилегиями, Одновременное выполнение с использованием общего ресурса с неправильной синхронизацией («Ситуация гонки»)
Идентификатор типа ошибки	CWE-269 CWE-362
Класс уязвимости	Уязвимость кода
Дата выявления	12.11.2019
Базовый вектор уязвимости	CVSS 2.0: AV:L/AC:M/Au:S/C:P/I:P/A:P CVSS 3.0: AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,1) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7)
Возможные меры по устранению уязвимости	Использование рекомендаций производителя: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1416
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование сроками и состоянием
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1416 https://nvd.nist.gov/vuln/detail/CVE-2019-1416
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2019-1416
Прочая информация	Данные уточняются

Последние изменения

01.12.2023 Уязвимость функции show_zysync_server_contents микропрограммного обеспечения сетевых хранилищ Zyxel NAS326, NAS542, позволяющая нарушителю выполнить произвольный код
01.12.2023 Уязвимость интерфейса iControl SOAP средств контроля доступа и удаленной аутентификации BIG-IP, позволяющая нарушителю выполнить произвольный код
01.12.2023 Уязвимость сервера приложений Eclipse Glassfish, существующая из-за недостаточной проверки входных данных, позволяющая нарушителю загружать вредоносный код на сервер
01.12.2023 Уязвимость веб-шлюза McAfee Web Gateway, связанная с ошибками в коде, позволяющая нарушителю вызвать отказ в обслуживании
01.12.2023 Уязвимость микропрограммного обеспечения твердотельных накопителей Intel(R) Optane(TM), связанная с недостаточной проверкой входных данных, позволяющая нарушителю повысить свои привилегии
01.12.2023 Уязвимость микропрограммного обеспечения твердотельных накопителей Intel(R) Optane(TM), связанная с некорректной инициализацией ресурса, позволяющая нарушителю вызвать отказ в обслуживании
01.12.2023 Уязвимость микропрограммного обеспечения твердотельных накопителей Intel(R) Optane(TM), связанная с недостатками контроля доступа, позволяющая нарушителю раскрыть защищаемую информацию
01.12.2023 Уязвимость микропрограммного обеспечения твердотельных накопителей Intel(R) Optane(TM), связанная с отсутствием защиты служебных данных, позволяющая нарушителю раскрыть защищаемую информацию
01.12.2023 Уязвимость интерфейса командной строки (CLI) микропрограммного обеспечения сетевых устройств ZyXEL VPN, USG FLEX и ATP, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
01.12.2023 Уязвимость интерфейса командной строки (CLI) микропрограммного обеспечения сетевых устройств ZyXEL VPN, USG FLEX и ATP, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»