BDU:2020-01794: Уязвимость утилиты для применения изменений между разными версиями текстовых файлов GNU patch (inp.c и util.c), связанная с неправильным определением ссылки перед доступом к файлу, позволяющая нарушителю оказать воздействие на целостность данных

Описание уязвимости

Уязвимость утилиты для применения изменений между разными версиями текстовых файлов GNU patch (inp.c и util.c) связана с неправильным определением ссылки перед доступом к файлу. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на целостность данных

Вендор

ООО «РусБИТех-Астра», Red Hat Inc., Canonical Ltd., Сообщество свободного программного обеспечения, Fedora Project

Наименование ПО

Astra Linux Special Edition (запись в едином реестре российских программ №369), Red Hat Enterprise Linux, Ubuntu, Debian GNU/Linux, Fedora, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), GNU Patch

Версия ПО

  • 1.5 «Смоленск» (Astra Linux Special Edition)
  • 7 (Red Hat Enterprise Linux)
  • 16.04 LTS (Ubuntu)
  • 18.04 LTS (Ubuntu)
  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 8.0 (Debian GNU/Linux)
  • 9.0 (Debian GNU/Linux)
  • 8 (Red Hat Enterprise Linux)
  • 30 (Fedora)
  • 10.0 (Debian GNU/Linux)
  • 14.04 ESM (Ubuntu)
  • 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
  • до 2.7.6 включительно (GNU Patch)

Тип ПО

Операционная система, Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Тип ошибки

Неверное определение ссылки перед доступом к файлу

Идентификатор типа ошибки

Класс уязвимости

Уязвимость кода

Дата выявления

15.07.2019

Базовый вектор уязвимости

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,9)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для GNU patch:
Обновление программного обеспечения до 2.7.6-5 или более поздней версии

Для Debian:
https://security-tracker.debian.org/tracker/CVE-2019-13636
Обновление программного обеспечения (пакета patch) до 2.7.5-1+deb9u2 или более поздней версии

Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20200327SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20200429SE81
https://wiki.astralinux.ru/astra-linux-se15-bulletin-20201201SE15

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/SVWWGISFWACROJJPVJJL4UBLVZ7LPOLT/

Для Ubuntu:
https://usn.ubuntu.com/4071-1/
https://usn.ubuntu.com/4071-2/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2019-13636

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Способ эксплуатации

  • Подмена при взаимодействии

Способ устранения

Обновление программного обеспечения

Информация об устранении

Уязвимость устранена

Идентификаторы других систем описаний уязвимостей

Прочая информация

Данные уточняются
Последние изменения