Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2020-01165: Уязвимость множества компонентов пакета программ BlueZ, связанная с небезопасным управлением привилегиями, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Описание уязвимости	Уязвимость множества компонентов пакета программ BlueZ связана с недостатком механизма управлением привилегиями. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Вендор	ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, Novell Inc.
Наименование ПО	Astra Linux Special Edition (запись в едином реестре российских программ №369), Debian GNU/Linux, SUSE Linux Enterprise, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), BlueZ
Версия ПО	1.6 «Смоленск» (Astra Linux Special Edition) 8.0 (Debian GNU/Linux) 9.0 (Debian GNU/Linux) Server 12 SP1 LTSS (SUSE Linux Enterprise) Server 12 SP2 LTSS (SUSE Linux Enterprise) High Performance Computing 12 (SUSE Linux Enterprise) Module for Basesystem 15 GA (SUSE Linux Enterprise) Server 12 SP4 (SUSE Linux Enterprise) Server for SAP Applications 12 SP2 (SUSE Linux Enterprise) Server for SAP Applications 12 SP4 (SUSE Linux Enterprise) Server 12 SP5 (SUSE Linux Enterprise) Server for SAP Applications 12 SP3 (SUSE Linux Enterprise) Server for SAP Applications 12 SP5 (SUSE Linux Enterprise) Workstation Extension 12 SP4 (SUSE Linux Enterprise) Workstation Extension 12 SP5 (SUSE Linux Enterprise) 10.0 (Debian GNU/Linux) Module for Basesystem 15 SP1 (SUSE Linux Enterprise) Server 12 SP3 LTSS (SUSE Linux Enterprise) Server 11 SP4 LTSS (SUSE Linux Enterprise) 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус») SDK 12 SP4 (SUSE Linux Enterprise) SDK 12 SP5 (SUSE Linux Enterprise) до 5.54 (BlueZ) Module for Desktop Applications 15 GA (SUSE Linux Enterprise) Module for Desktop Applications 15 SP1 (SUSE Linux Enterprise) Workstation Extension 15 GA (SUSE Linux Enterprise) Workstation Extension 15 SP1 (SUSE Linux Enterprise)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369) Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 Сообщество свободного программного обеспечения Debian GNU/Linux 9.0 Novell Inc. SUSE Linux Enterprise Server 12 SP1 LTSS Novell Inc. SUSE Linux Enterprise Server 12 SP2 LTSS Novell Inc. SUSE Linux Enterprise High Performance Computing 12 Novell Inc. SUSE Linux Enterprise Module for Basesystem 15 GA Novell Inc. SUSE Linux Enterprise Server 12 SP4 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4 Novell Inc. SUSE Linux Enterprise Server 12 SP5 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5 Novell Inc. SUSE Linux Enterprise Workstation Extension 12 SP4 Novell Inc. SUSE Linux Enterprise Workstation Extension 12 SP5 Сообщество свободного программного обеспечения Debian GNU/Linux 10.0 Novell Inc. SUSE Linux Enterprise Module for Basesystem 15 SP1 Novell Inc. SUSE Linux Enterprise Server 12 SP3 LTSS Novell Inc. SUSE Linux Enterprise Server 11 SP4 LTSS ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград» (запись в едином реестре российских программ №11156) Novell Inc. SUSE Linux Enterprise SDK 12 SP4 Novell Inc. SUSE Linux Enterprise SDK 12 SP5 Novell Inc. SUSE Linux Enterprise Module for Desktop Applications 15 GA Novell Inc. SUSE Linux Enterprise Module for Desktop Applications 15 SP1 Novell Inc. SUSE Linux Enterprise Workstation Extension 15 GA Novell Inc. SUSE Linux Enterprise Workstation Extension 15 SP1
Тип ошибки	Небезопасное управление привилегиями
Идентификатор типа ошибки	CWE-269
Класс уязвимости	Уязвимость архитектуры
Дата выявления	13.03.2020
Базовый вектор уязвимости	CVSS 2.0: AV:A/AC:L/Au:N/C:P/I:P/A:P CVSS 3.0: AV:A/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:L
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,8) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,1)
Возможные меры по устранению уязвимости	Для bluez: Обновление программного обеспечения до 5.54 или более поздней версии Для Debian: Обновление программного обеспечения (пакета bluez) до 5.50-1.2~deb10u1 или более поздней версии Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2020-0556/ Для Astra Linux: Использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16 https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование ресурсами Нарушение авторизации
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://nvd.nist.gov/vuln/detail/CVE-2020-0556 https://security-tracker.debian.org/tracker/CVE-2020-0556 https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16 https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00352.html https://www.suse.com/security/cve/CVE-2020-0556/ https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2020-0556
Прочая информация	Данные уточняются

Последние изменения