БДУ - Уязвимости

BDU:2020-00844: Уязвимость функции L2CAP_PARSE_CONF_RSP ядра операционных систем Linux, связанная с раскрытием информации, позволяющая нарушителю получить доступ к конфиденциальным данным

Описание уязвимости	Уязвимость функции L2CAP_PARSE_CONF_RSP ядра операционных систем Linux связана с переполнением буфера в куче. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить доступ к конфиденциальным данным
Вендор	Canonical Ltd., Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра», Novell Inc.
Наименование ПО	Ubuntu, Debian GNU/Linux, Astra Linux Special Edition (запись в едином реестре российских программ №369), SUSE Linux Enterprise, Astra Linux Common Edition (запись в едином реестре российских программ №4433), Linux
Версия ПО	14.04 (Ubuntu) 16.04 (Ubuntu) 9 (Debian GNU/Linux) 18.10 (Ubuntu) 1.6 «Смоленск» (Astra Linux Special Edition) 8.0 (Debian GNU/Linux) Server 11 SP3 LTSS (SUSE Linux Enterprise) Server for SAP Applications 11 SP3 (SUSE Linux Enterprise) Server for SAP Applications 12 GA (SUSE Linux Enterprise) 18.04 (Ubuntu) 2.12 «Орёл» (Astra Linux Common Edition) 10 (Debian GNU/Linux) 11 SP4 (SUSE Linux Enterprise) до 5.1 включительно (Linux)
Тип ПО	Операционная система
Операционные системы и аппаратные платформы	Canonical Ltd. Ubuntu 14.04 Canonical Ltd. Ubuntu 16.04 Canonical Ltd. Ubuntu 18.10 Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 Novell Inc. SUSE Linux Enterprise Server 11 SP3 LTSS Novell Inc. SUSE Linux Enterprise Server for SAP Applications 11 SP3 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 GA Canonical Ltd. Ubuntu 18.04 ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл» (запись в едином реестре российских программ №4433) Novell Inc. SUSE Linux Enterprise 11 SP4 Сообщество свободного программного обеспечения Linux до 5.1 включительно
Тип ошибки	Раскрытие информации
Идентификатор типа ошибки	CWE-200
Класс уязвимости	Уязвимость кода
Дата выявления	11.04.2019
Базовый вектор уязвимости	CVSS 2.0: AV:A/AC:L/Au:N/C:P/I:N/A:N CVSS 3.0: Вектор не задан
Уровень опасности уязвимости	Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 3,3)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для Linux: https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=af3d5d1c87664a4f150fcf3534c6567cb19909b0 Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2019-3460/ Для Debian: https://lists.debian.org/debian-lts-announce/2019/05/msg00002.html Для Ubuntu: https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-3460.html Для Astra Linux: Обновление программного обеспечения (пакета linux-4.9) до 4.9.168-1~deb8u1 или более поздней версии Использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Существует в открытом доступе
Способ эксплуатации	Несанкционированный сбор информации
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://git.kernel.org/linus/af3d5d1c87664a4f150fcf3534c6567cb19909b0 https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=af3d5d1c87664a4f150fcf3534c6567cb19909b0 https://lists.debian.org/debian-lts-announce/2019/05/msg00002.html https://lore.kernel.org/linux-bluetooth/20190110062917.GB15047@kroah.com/ https://marc.info/?l=oss-security&m=154721580222522&w=2 https://nvd.nist.gov/vuln/detail/CVE-2019-3460 https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-3460.html https://security-tracker.debian.org/tracker/CVE-2019-3460 https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16 https://www.suse.com/security/cve/CVE-2019-3460/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2019-3460
Прочая информация	Данные уточняются

Последние изменения

27.09.2023 Уязвимость средства управления устройствами энергосистемы AcSELerator QuickSet SEL-5030, связанная с включением функций из недостоверной контролируемой области, позволяющая нарушителю выполнить произвольный код
27.09.2023 Уязвимость средства управления устройствами энергосистемы AcSELerator QuickSet SEL-5030, связанная с неполной фильтрацией специальных элементов, позволяющая нарушителю выполнить произвольный код
27.09.2023 Уязвимость функции update_banner_message() инструмента для мониторинга Nagios XI, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации и выполнить произвольный код
27.09.2023 Уязвимость модуля отображения веб-страниц WebKit браузера Safari и операционных систем iOS и iPadOS, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
27.09.2023 Уязвимость ядра операционных систем iOS, watchOS, iPadOS и macOS, позволяющая нарушителю повысить свои привилегии
27.09.2023 Уязвимость компонента Security операционных систем iOS, watchOS, iPadOS и macOS, позволяющая нарушителю обойти проверку цифровой подписи
26.09.2023 Уязвимость средства разработки программного обеспечения Microsoft Visual Studio, связанная с неконтролируемым расходом ресурсов, позволяющая нарушителю вызвать отказ в обслуживании
26.09.2023 Уязвимость модуля RDS ядра Unbreakable Enterprise Kernel (UEK) операционных систем Oracle Linux, позволяющая нарушителю вызвать отказ в обслуживании
26.09.2023 Уязвимость пользовательских вкладок браузера Google Chrome, позволяющая нарушителю подменить пользовательский интерфейс
26.09.2023 Уязвимость компонента Input браузера Google Chrome, позволяющая нарушителю подменить пользовательский интерфейс

Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»