BDU:2020-01814: Уязвимость функции open_envvar инструмента для настройки использования пользовательских приложений по умолчанию xdg-open, позволяющая нарушителю получить несанкционированный доступ к информации и нарушить ее целостность и доступность

Описание уязвимости Уязвимость функции open_envvar инструмента для настройки использования пользовательских приложений по умолчанию xdg-open связана с неверной нейтрализацией особых элементов в выходных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к информации и нарушить ее целостность и доступность
Вендор Canonical Ltd., ООО «РусБИТех-Астра», Novell Inc., Сообщество свободного программного обеспечения
Наименование ПО Ubuntu, Astra Linux Special Edition (запись в едином реестре российских программ №369), Suse Linux Enterprise Desktop, SUSE Linux Enterprise Server for SAP Applications, Debian GNU/Linux, Suse Linux Enterprise Server, SUSE Linux Enterprise Module for Basesystem, OpenSUSE Leap, SUSE Linux Enterprise Module for High Performance Computing, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), xdg-utils
Версия ПО
  • 14.04 LTS (Ubuntu)
  • 16.04 LTS (Ubuntu)
  • 17.10 (Ubuntu)
  • 18.04 LTS (Ubuntu)
  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 12 SP3 (Suse Linux Enterprise Desktop)
  • 12 SP4 (Suse Linux Enterprise Desktop)
  • 12 SP3 (SUSE Linux Enterprise Server for SAP Applications)
  • 8.0 (Debian GNU/Linux)
  • 9.0 (Debian GNU/Linux)
  • 12 SP3 (Suse Linux Enterprise Server)
  • 12 SP4 (Suse Linux Enterprise Server)
  • 15 (SUSE Linux Enterprise Module for Basesystem)
  • 15 SP1 (SUSE Linux Enterprise Module for Basesystem)
  • 15.0 (OpenSUSE Leap)
  • 15 SP1 (SUSE Linux Enterprise Module for High Performance Computing)
  • 10.0 (Debian GNU/Linux)
  • 12 SP5 (Suse Linux Enterprise Server)
  • 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
  • до 1.1.3 (xdg-utils)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Тип ошибки Неверная нейтрализация особых элементов в выходных данных, используемых входящим компонентом («инъекция»)
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 10.05.2018
Базовый вектор уязвимости
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,3)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для xdg-utils:
Обновление программного обеспечения до 1.1.3 или более поздней версии

Для Debian:
Обновление программного обеспечения (пакета xdg-utils) до 1.1.1-1+deb9u1 или более поздней версии

Для Astra Linux:
Обновление программного обеспечения (пакета xdg-utils) до 1.1.1-1+deb9u1 или более поздней версии

Для Ubuntu:
https://usn.ubuntu.com/3650-1/

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2017-18266/
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Инъекция
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения