BDU:2020-01796: Уязвимость функции lbs_ibss_join_existing (drivers/net/wireless/marvell/libertas/cfg.c) драйвера Marvell WiFi ядра операционной системы Linux, связанная с записью за границами буфера, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Описание уязвимости Уязвимость функции lbs_ibss_join_existing (drivers/net/wireless/marvell/libertas/cfg.c) драйвера Marvell WiFi ядра операционной системы Linux связана с записью за границы буфера памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Вендор Red Hat Inc., Canonical Ltd., ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, Novell Inc., Fedora Project
Наименование ПО Red Hat Enterprise Linux, Ubuntu, Astra Linux Special Edition (запись в едином реестре российских программ №369), Debian GNU/Linux, OpenSUSE Leap, Fedora, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), Linux
Версия ПО
  • 6 (Red Hat Enterprise Linux)
  • 16.04 LTS (Ubuntu)
  • 1.5 «Смоленск» (Astra Linux Special Edition)
  • 18.04 LTS (Ubuntu)
  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 8.0 (Debian GNU/Linux)
  • 9.0 (Debian GNU/Linux)
  • 15.1 (OpenSUSE Leap)
  • 30 (Fedora)
  • 10.0 (Debian GNU/Linux)
  • 14.04 ESM (Ubuntu)
  • 31 (Fedora)
  • 19.10 (Ubuntu)
  • 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
  • до 2.6.32 включительно (Linux)
  • до 2.6.32 (Linux)
Тип ПО Операционная система
Операционные системы и аппаратные платформы
Тип ошибки Запись за границами буфера
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 29.11.2019
Базовый вектор уязвимости
    CVSS 3.0: Вектор не задан
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для linux:
Обновление программного обеспечения до 5.4.19-1 или более поздней версии

Для Debian:
https://security-tracker.debian.org/tracker/CVE-2019-14897

Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20200327SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20200429SE81
https://wiki.astralinux.ru/astra-linux-se15-bulletin-20201201SE15

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2019-14897

Для Ubuntu:
https://usn.ubuntu.com/4225-1/
https://usn.ubuntu.com/4225-2/
https://usn.ubuntu.com/4226-1/
https://usn.ubuntu.com/4227-1/
https://usn.ubuntu.com/4227-2/
https://usn.ubuntu.com/4228-1/
https://usn.ubuntu.com/4228-2/

Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2020-03/msg00021.html

Для Astra Linux:
Использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения