BDU:2019-04634: Уязвимость функции zzip_mem_entry_new() библиотеки архивирования ZZIPlib, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости Уязвимость функции zzip_mem_entry_new() (zzip/memdisk.c) библиотеки архивирования ZZIPlib связана с выходом операции за допустимые границы буффера данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании
Вендор Canonical Ltd., Novell Inc., ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, Guido U. Draheim, АО "НППКТ"
Наименование ПО Ubuntu, OpenSUSE Leap, Astra Linux Special Edition (запись в едином реестре российских программ №369), Debian GNU/Linux, zziplib, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО
  • 14.04 LTS (Ubuntu)
  • 16.04 LTS (Ubuntu)
  • 42.3 (OpenSUSE Leap)
  • 17.10 (Ubuntu)
  • 18.04 LTS (Ubuntu)
  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 8.0 (Debian GNU/Linux)
  • 9.0 (Debian GNU/Linux)
  • до 0.13.67 (zziplib)
  • до 2.6 (ОСОН ОСнова Оnyx)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Тип ошибки Выход операции за границы буфера в памяти
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 29.01.2018
Базовый вектор уязвимости
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)
Возможные меры по устранению уязвимости
Использование рекомендаций:
https://github.com/gdraheim/zziplib/issues/12

Для Debian:
https://security-tracker.debian.org/tracker/CVE-2018-6381

Для Астра Линукс:
https://wiki.astralinux.ru/pages/viewpage.action?pageId=57444186

Для OpenSUSE:
https://www.suse.com/security/cve/CVE-2018-6381/

Для Ubuntu:
https://usn.ubuntu.com/3699-1/

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения zziplib до версии 0.13.72+dfsg.1-1osnova0
Статус уязвимости Подтверждена производителем
Наличие эксплойта Существует в открытом доступе
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения