Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2020-01658: Уязвимость компонента рекурсивного клонирования подмодулей распределенной системы управления версиями Git, позволяющая нарушителю получить несанкционированный доступ к конфиденциальным данным, вызвать отказ в обслуживании и оказать воздействие на целостность данных

Описание уязвимости	Уязвимость компонента рекурсивного клонирования подмодулей распределенной системы управления версиями Git связана с недостатком механизма проверки вводимых данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к конфиденциальным данным, вызвать отказ в обслуживании и оказать воздействие на целостность данных
Вендор	ООО «РусБИТех-Астра», Red Hat Inc., Сообщество свободного программного обеспечения, Novell Inc., Linus Torvalds, Junio Hamano
Наименование ПО	Astra Linux Special Edition (запись в едином реестре российских программ №369), Red Hat Enterprise Linux, Debian GNU/Linux, OpenSUSE Leap, Red Hat Software Collections, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), Git
Версия ПО	1.5 «Смоленск» (Astra Linux Special Edition) 7 (Red Hat Enterprise Linux) 8.0 (Debian GNU/Linux) 9.0 (Debian GNU/Linux) 8 (Red Hat Enterprise Linux) 15.1 (OpenSUSE Leap) - (Red Hat Software Collections) 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус») 8.0 Update Services for SAP Solutions (Red Hat Enterprise Linux) от 15.0 до 15.9.18 (Git) от 16.0 до 16.4.1 (Git)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	ООО «РусБИТех-Астра» Astra Linux Special Edition 1.5 «Смоленск» (запись в едином реестре российских программ №369) Red Hat Inc. Red Hat Enterprise Linux 7 Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 Сообщество свободного программного обеспечения Debian GNU/Linux 9.0 Red Hat Inc. Red Hat Enterprise Linux 8 Novell Inc. OpenSUSE Leap 15.1 ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград» (запись в едином реестре российских программ №11156) Red Hat Inc. Red Hat Enterprise Linux 8.0 Update Services for SAP Solutions
Тип ошибки	Недостаточная проверка вводимых данных
Идентификатор типа ошибки	CWE-20
Класс уязвимости	Уязвимость кода
Дата выявления	13.12.2019
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:M/Au:N/C:C/I:C/A:C CVSS 3.0: AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,3) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для git: Обновление программного обеспечения до 1:2.25.1-1 или более поздней версии Для Debian: Обновление программного обеспечения (пакета git) до 1:2.11.0-3+deb9u5 или более поздней версии Для программных продуктов Novell Inc.: https://lists.opensuse.org/opensuse-security-announce/2020-01/msg00056.html Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2019-1349 Для Astra Linux: Обновление программного обеспечения (пакета git) до 1:2.11.0-3+deb9u5 или более поздней версии
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование ресурсами
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1349 https://nvd.nist.gov/vuln/detail/CVE-2019-1349 https://security-tracker.debian.org/tracker/CVE-2019-1349 https://lists.opensuse.org/opensuse-security-announce/2020-01/msg00056.html https://access.redhat.com/security/cve/cve-2019-1349 https://wiki.astralinux.ru/astra-linux-se81-bulletin-20200429SE81 https://wiki.astralinux.ru/astra-linux-se15-bulletin-20201201SE15
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2019-1349
Прочая информация	Данные уточняются

Последние изменения