Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2020-01814: Уязвимость функции open_envvar инструмента для настройки использования пользовательских приложений по умолчанию xdg-open, позволяющая нарушителю получить несанкционированный доступ к информации и нарушить ее целостность и доступность

Описание уязвимости	Уязвимость функции open_envvar инструмента для настройки использования пользовательских приложений по умолчанию xdg-open связана с неверной нейтрализацией особых элементов в выходных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к информации и нарушить ее целостность и доступность
Вендор	Canonical Ltd., ООО «РусБИТех-Астра», Novell Inc., Сообщество свободного программного обеспечения
Наименование ПО	Ubuntu, Astra Linux Special Edition (запись в едином реестре российских программ №369), Suse Linux Enterprise Desktop, SUSE Linux Enterprise Server for SAP Applications, Debian GNU/Linux, Suse Linux Enterprise Server, SUSE Linux Enterprise Module for Basesystem, OpenSUSE Leap, SUSE Linux Enterprise Module for High Performance Computing, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), xdg-utils
Версия ПО	14.04 LTS (Ubuntu) 16.04 LTS (Ubuntu) 17.10 (Ubuntu) 18.04 LTS (Ubuntu) 1.6 «Смоленск» (Astra Linux Special Edition) 12 SP3 (Suse Linux Enterprise Desktop) 12 SP4 (Suse Linux Enterprise Desktop) 12 SP3 (SUSE Linux Enterprise Server for SAP Applications) 8.0 (Debian GNU/Linux) 9.0 (Debian GNU/Linux) 12 SP3 (Suse Linux Enterprise Server) 12 SP4 (Suse Linux Enterprise Server) 15 (SUSE Linux Enterprise Module for Basesystem) 15 SP1 (SUSE Linux Enterprise Module for Basesystem) 15.0 (OpenSUSE Leap) 15 SP1 (SUSE Linux Enterprise Module for High Performance Computing) 10.0 (Debian GNU/Linux) 12 SP5 (Suse Linux Enterprise Server) 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус») до 1.1.3 (xdg-utils)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Canonical Ltd. Ubuntu 14.04 LTS Canonical Ltd. Ubuntu 16.04 LTS Canonical Ltd. Ubuntu 17.10 Canonical Ltd. Ubuntu 18.04 LTS ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369) Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 Сообщество свободного программного обеспечения Debian GNU/Linux 9.0 Novell Inc. OpenSUSE Leap 15.0 Сообщество свободного программного обеспечения Debian GNU/Linux 10.0 ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград» (запись в едином реестре российских программ №11156)
Тип ошибки	Неверная нейтрализация особых элементов в выходных данных, используемых входящим компонентом («инъекция»)
Идентификатор типа ошибки	CWE-74
Класс уязвимости	Уязвимость кода
Дата выявления	10.05.2018
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:M/Au:N/C:C/I:C/A:C CVSS 3.0: AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,3) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для xdg-utils: Обновление программного обеспечения до 1.1.3 или более поздней версии Для Debian: Обновление программного обеспечения (пакета xdg-utils) до 1.1.1-1+deb9u1 или более поздней версии Для Astra Linux: Обновление программного обеспечения (пакета xdg-utils) до 1.1.1-1+deb9u1 или более поздней версии Для Ubuntu: https://usn.ubuntu.com/3650-1/ Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2017-18266/
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Инъекция
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://usn.ubuntu.com/3650-1/ https://www.suse.com/security/cve/CVE-2017-18266/ https://access.redhat.com/security/cve/CVE-2017-18266 https://cgit.freedesktop.org/xdg/xdg-utils/commit/?id=ce802d71c3466d1dbb24f2fe9b6db82a1f899bcb https://cgit.freedesktop.org/xdg/xdg-utils/commit/?id=5647afb35e4bcba2060148e1a2a47bc43cc240f2 https://bugs.freedesktop.org/show_bug.cgi?id=103807 https://nvd.nist.gov/vuln/detail/CVE-2017-18266 https://security-tracker.debian.org/tracker/CVE-2017-18266 https://wiki.astralinux.ru/astra-linux-se16-bulletin-20200327SE16 https://wiki.astralinux.ru/astra-linux-se81-bulletin-20200429SE81
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2017-18266
Прочая информация	Данные уточняются

Последние изменения