BDU:2019-04671: Уязвимость служебных утилит e2fsprogs для работы с файловыми системами ext2, ext3 и ext4, связанная с записью за границами кучи, позволяющая нарушителю выполнить произвольный код

Описание уязвимости Уязвимость служебных утилит e2fsprogs для работы с файловыми системами ext2, ext3 и ext4 связана с записью за границами кучи. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
Вендор ООО «РусБИТех-Астра», Red Hat Inc., Сообщество свободного программного обеспечения, Novell Inc., Fedora Project, Theodore Ts'o, АО «Концерн ВНИИНС»
Наименование ПО Astra Linux Special Edition (запись в едином реестре российских программ №369), Red Hat Enterprise Linux, Debian GNU/Linux, OpenSUSE Leap, Fedora, E2fsprogs, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), ОС ОН «Стрелец» (запись в едином реестре российских программ №6177)
Версия ПО
  • 1.5 «Смоленск» (Astra Linux Special Edition)
  • 7 (Red Hat Enterprise Linux)
  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 8.0 (Debian GNU/Linux)
  • 9.0 (Debian GNU/Linux)
  • 8 (Red Hat Enterprise Linux)
  • 15.0 (OpenSUSE Leap)
  • 15.1 (OpenSUSE Leap)
  • 30 (Fedora)
  • 10.0 (Debian GNU/Linux)
  • 31 (Fedora)
  • 1.45.3 (E2fsprogs)
  • 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
  • 1.0 (ОС ОН «Стрелец»)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Тип ошибки Запись за границами буфера
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 24.09.2019
Базовый вектор уязвимости
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,7)
Возможные меры по устранению уязвимости
Использование рекомендаций:

Для e2fsprogs:
Обновление программного обеспечения до 1.43.4-2+deb9u1 или более поздней версии

Для Debian:
Обновление программного обеспечения (пакета e2fsprogs) до 1.43.4-2+deb9u1 или более поздней версии

Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20200327SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20200429SE81
https://wiki.astralinux.ru/astra-linux-se15-bulletin-20201201SE15

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/2AKETJ6BREDUHRWQTV35SPGG5C6H7KSI/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/6DOBCYQKCTTWXBLMUPJ5TX3FY7JNCOKY/

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2019-5094/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2019-5094

Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
Статус уязвимости Подтверждена производителем
Наличие эксплойта Существует в открытом доступе
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация -
Последние изменения