Банк данных угроз безопасности информации
Федеральная служба по техническому и экспортному контролю
ФСТЭК России
Государственный научно-исследовательский испытательный институт проблем технической защиты информации
ФАУ «ГНИИИ ПТЗИ ФСТЭК России»
Toggle navigation
Угрозы
Перечень угроз
Новый раздел угроз
Уязвимости
Список уязвимостей
Типовые уязвимости веб-приложений
Наиболее опасные уязвимости
Инфографика
Калькулятор CVSS V2
Калькулятор CVSS V3
Калькулятор CVSS V3.1
ScanOVAL
ScanOVAL для Linux
Тестирование обновлений
Документы
Термины
Регламент включения уязвимостей
Все документы
Обратная связь
Написать администратору
Электронная почта
Сообщить об уязвимости
Сообщить об угрозе
Обновления
Новости сайта
Список каналов (RSS, Atom)
Telegram
Участники
Организации
Исследователи
Рейтинг исследователей
Обучение
БДУ АСУ ТП
ФСТЭК России
Главная
Список уязвимостей
BDU:2020-00844
BDU:2020-00844: Уязвимость функции L2CAP_PARSE_CONF_RSP ядра операционных систем Linux, связанная с раскрытием информации, позволяющая нарушителю получить доступ к конфиденциальным данным
Вид
Список
Плитка
Для печати
Основная информация
Подробнее
Описание уязвимости
Уязвимость функции L2CAP_PARSE_CONF_RSP ядра операционных систем Linux связана с переполнением буфера в куче. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить доступ к конфиденциальным данным
Вендор
Canonical Ltd., Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра», Novell Inc.
Наименование ПО
Ubuntu, Debian GNU/Linux, Astra Linux Special Edition (
запись в едином реестре российских программ №369
), SUSE Linux Enterprise, Astra Linux Common Edition (
запись в едином реестре российских программ №4433
), Linux
Версия ПО
14.04 (Ubuntu)
16.04 (Ubuntu)
9 (Debian GNU/Linux)
18.10 (Ubuntu)
1.6 «Смоленск» (Astra Linux Special Edition)
8.0 (Debian GNU/Linux)
Server 11 SP3 LTSS (SUSE Linux Enterprise)
Server for SAP Applications 11 SP3 (SUSE Linux Enterprise)
Server for SAP Applications 12 GA (SUSE Linux Enterprise)
18.04 (Ubuntu)
2.12 «Орёл» (Astra Linux Common Edition)
10 (Debian GNU/Linux)
11 SP4 (SUSE Linux Enterprise)
от 4.0 до 4.4.177 включительно (Linux)
от 4.5 до 4.9.166 включительно (Linux)
от 4.10 до 4.14.109 включительно (Linux)
от 4.15 до 4.19.32 включительно (Linux)
от 4.20 до 5.0.5 включительно (Linux)
Тип ПО
Операционная система
Операционные системы и аппаратные платформы
Canonical Ltd. Ubuntu 14.04
Canonical Ltd. Ubuntu 16.04
Canonical Ltd. Ubuntu 18.10
Сообщество свободного программного обеспечения Debian GNU/Linux 8.0
Novell Inc. SUSE Linux Enterprise Server 11 SP3 LTSS
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 11 SP3
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 GA
Canonical Ltd. Ubuntu 18.04
ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл» (
запись в едином реестре российских программ №4433
)
Novell Inc. SUSE Linux Enterprise 11 SP4
Сообщество свободного программного обеспечения Linux до 5.1 включительно
Тип ошибки
Недостаточная проверка вводимых данных, Раскрытие информации
Идентификатор типа ошибки
CWE-20
CWE-200
Класс уязвимости
Уязвимость кода
Дата выявления
23.01.2019
Базовый вектор уязвимости
CVSS 2.0:
AV:A/AC:L/Au:N/C:P/I:N/A:N
CVSS 3.0:
AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Уровень опасности уязвимости
Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 3,3)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Linux:
https://git.kernel.org/linus/af3d5d1c87664a4f150fcf3534c6567cb19909b0
https://git.kernel.org/pub/scm/linux/kernel/git/bluetooth/bluetooth-next.git/commit/?id=af3d5d1c87664a4f150fcf3534c6567cb19909b0
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=af3d5d1c87664a4f150fcf3534c6567cb19909b0
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2019-3460/
Для Debian:
https://lists.debian.org/debian-lts-announce/2019/05/msg00002.html
Для Ubuntu:
https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-3460.html
Для Astra Linux:
Обновление программного обеспечения (пакета linux-4.9) до 4.9.168-1~deb8u1 или более поздней версии
Использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует
Способ эксплуатации
Несанкционированный сбор информации
Способ устранения
Обновление программного обеспечения
Информация об устранении
Уязвимость устранена
Ссылки на источники
http://www.openwall.com/lists/oss-security/2019/06/27/2
http://www.openwall.com/lists/oss-security/2019/06/27/7
http://www.openwall.com/lists/oss-security/2019/06/28/1
http://www.openwall.com/lists/oss-security/2019/06/28/2
http://www.openwall.com/lists/oss-security/2019/08/12/1
https://access.redhat.com/errata/RHSA-2019:2029
https://access.redhat.com/errata/RHSA-2019:2043
https://access.redhat.com/errata/RHSA-2019:3309
https://access.redhat.com/errata/RHSA-2019:3517
https://access.redhat.com/errata/RHSA-2020:0740
https://bugzilla.redhat.com/show_bug.cgi?id=1663179
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-3460
https://git.kernel.org/linus/af3d5d1c87664a4f150fcf3534c6567cb19909b0
https://git.kernel.org/pub/scm/linux/kernel/git/bluetooth/bluetooth-next.git/commit/?id=af3d5d1c87664a4f150fcf3534c6567cb19909b0
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=af3d5d1c87664a4f150fcf3534c6567cb19909b0
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.110
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.33
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.4.178
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.167
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.0.6
https://lists.debian.org/debian-lts-announce/2019/05/msg00002.html
https://lists.debian.org/debian-lts-announce/2019/05/msg00041.html
https://lists.debian.org/debian-lts-announce/2019/05/msg00042.html
https://lore.kernel.org/linux-bluetooth/20190110062917.GB15047%40kroah.com/
https://lore.kernel.org/linux-bluetooth/20190110062917.GB15047@kroah.com/
https://lore.kernel.org/linux-bluetooth/20190118115620.7562-1-marcel@holtmann.org/
https://marc.info/?l=oss-security&m=154721580222522&w=2
https://nvd.nist.gov/vuln/detail/CVE-2019-3460
https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-3460.html
https://seclists.org/oss-sec/2019/q1/58
https://security-tracker.debian.org/tracker/CVE-2019-3460
https://ubuntu.com/security/notices/USN-3930-1
https://ubuntu.com/security/notices/USN-3930-2
https://ubuntu.com/security/notices/USN-3931-1
https://ubuntu.com/security/notices/USN-3931-2
https://ubuntu.com/security/notices/USN-3932-1
https://ubuntu.com/security/notices/USN-3932-2
https://ubuntu.com/security/notices/USN-3933-1
https://ubuntu.com/security/notices/USN-3933-2
https://usn.ubuntu.com/usn/usn-3930-1
https://usn.ubuntu.com/usn/usn-3930-2
https://usn.ubuntu.com/usn/usn-3931-1
https://usn.ubuntu.com/usn/usn-3931-2
https://usn.ubuntu.com/usn/usn-3932-1
https://usn.ubuntu.com/usn/usn-3932-2
https://usn.ubuntu.com/usn/usn-3933-1
https://usn.ubuntu.com/usn/usn-3933-2
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16
https://www.cve.org/CVERecord?id=CVE-2019-3460
https://www.suse.com/security/cve/CVE-2019-3460/
Идентификаторы других систем описаний уязвимостей
CVE:
CVE-2019-3460
Прочая информация
Данные уточняются
Последние изменения
13.09.2024
Уязвимость операционной системы Cisco NX-OS коммутаторов Cisco Nexus, позволяющая нарушителю выполнить произвольный код
13.09.2024
Уязвимость интерфейса командной строки операционной системы Cisco NX-OS коммутаторов Cisco Nexus, позволяющая нарушителю выполнить произвольные команды
13.09.2024
Уязвимость пакета программ Microsoft Office, связанная с переполнением буфера в динамической памяти, позволяющая нарушителю выполнить произвольный код
13.09.2024
Уязвимость интерпритатора Python операционной системы Cisco NX-OS коммутаторов Cisco Nexus, позволяющая нарушителю выполнить произвольные команды
13.09.2024
Уязвимость командной оболочки Bash операционной системы Cisco NX-OS коммутаторов Cisco Nexus 3000 и Nexus 9000, позволяющая нарушителю выполнить произвольные команды
13.09.2024
Уязвимость функции Parse языка программирования Go, позволяющая нарушителю вызвать отказ в обслуживании
13.09.2024
Уязвимость функции Decoder.Decode языка программирования Go, позволяющая нарушителю вызвать отказ в обслуживании
13.09.2024
Уязвимость средства управления информационной инфраструктурой Cisco Application Policy Infrastructure Controller, связанная с ошибками разграничения доступа, позволяющая нарушителю выполнить произвольный код и повысить свои привилегии до уровня root
13.09.2024
Уязвимость интерфейса REST API платформы управления политиками соединений Cisco Identity Services Engine (ISE), позволяющая нарушителю получить несанкционированный доступ на чтение и изменение защищаемой информации
13.09.2024
Уязвимость расширения Adobe Acrobat браузера Microsoft Edge, позволяющая нарушителю выполнить произвольный код