БДУ - Уязвимости

BDU:2020-02034: Уязвимость функции UnicodeString::doAppend (unistr.cpp) библиотеки International Components for Unicode, связанная с целочисленным переполнением структуры данных, позволяющая нарушителю получить несанкционированный доступ к конфиденциальным данным, вызвать отказ в обслуживании или оказать воздействие на целостность данных

Описание уязвимости	Уязвимость функции UnicodeString::doAppend (unistr.cpp) библиотеки International Components for Unicode связана с целочисленным переполнением структуры данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к конфиденциальным данным, вызвать отказ в обслуживании или оказать воздействие на целостность данных
Вендор	Red Hat Inc., Canonical Ltd., ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, Novell Inc., Fedora Project, Google Inc., Icu Project, Oracle Corp.
Наименование ПО	Red Hat Enterprise Linux, Ubuntu, Astra Linux Special Edition (запись в едином реестре российских программ №369), Debian GNU/Linux, OpenSUSE Leap, Fedora, Red Hat Software Collections, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), Google Chrome, International Components for Unicode, Oracle Banking Extensibility Workbench
Версия ПО	6 (Red Hat Enterprise Linux) 7 (Red Hat Enterprise Linux) 16.04 LTS (Ubuntu) Desktop 6.0 (Red Hat Enterprise Linux) Server 6.0 (Red Hat Enterprise Linux) Workstation 6.0 (Red Hat Enterprise Linux) 18.04 LTS (Ubuntu) 1.6 «Смоленск» (Astra Linux Special Edition) 8.0 (Debian GNU/Linux) 9.0 (Debian GNU/Linux) 12.04 ESM (Ubuntu) 8 (Red Hat Enterprise Linux) 15.1 (OpenSUSE Leap) 30 (Fedora) 10.0 (Debian GNU/Linux) 14.04 ESM (Ubuntu) 31 (Fedora) - (Red Hat Software Collections) 19.10 (Ubuntu) 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус») до 80.0.3987.122 (Google Chrome) 8.0 Update Services for SAP Solutions (Red Hat Enterprise Linux) до 66.1 включительно (International Components for Unicode) 33 (Fedora) 6 Supplementary (Red Hat Enterprise Linux) 14.3.0 (Oracle Banking Extensibility Workbench) 14.4.0 (Oracle Banking Extensibility Workbench)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Red Hat Inc. Red Hat Enterprise Linux 6 64-bit Red Hat Inc. Red Hat Enterprise Linux 7 IA-32 Canonical Ltd. Ubuntu 16.04 LTS 32-bit Red Hat Inc. Red Hat Enterprise Linux Desktop 6.0 IA-32 Red Hat Inc. Red Hat Enterprise Linux Server 6.0 IA-32 Red Hat Inc. Red Hat Enterprise Linux Workstation 6.0 IA-32 Red Hat Inc. Red Hat Enterprise Linux 6 Red Hat Inc. Red Hat Enterprise Linux 7 Canonical Ltd. Ubuntu 16.04 LTS Canonical Ltd. Ubuntu 18.04 LTS ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369) Red Hat Inc. Red Hat Enterprise Linux Desktop 6.0 Red Hat Inc. Red Hat Enterprise Linux Server 6.0 Red Hat Inc. Red Hat Enterprise Linux Workstation 6.0 Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 Сообщество свободного программного обеспечения Debian GNU/Linux 9.0 Canonical Ltd. Ubuntu 12.04 ESM Red Hat Inc. Red Hat Enterprise Linux 8 Novell Inc. OpenSUSE Leap 15.1 Fedora Project Fedora 30 Сообщество свободного программного обеспечения Debian GNU/Linux 10.0 Canonical Ltd. Ubuntu 14.04 ESM Fedora Project Fedora 31 Canonical Ltd. Ubuntu 19.10 ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград» (запись в едином реестре российских программ №11156) Red Hat Inc. Red Hat Enterprise Linux 8.0 Update Services for SAP Solutions Fedora Project Fedora 33 Red Hat Inc. Red Hat Enterprise Linux 6 Supplementary
Тип ошибки	Целочисленное переполнение или циклический сдвиг
Идентификатор типа ошибки	CWE-190
Класс уязвимости	Уязвимость кода
Дата выявления	12.03.2020
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:M/Au:N/C:P/I:P/A:P CVSS 3.0: AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для icu: Обновление программного обеспечения до 63.2-3 или более поздней версии Для Debian: Обновление программного обеспечения (пакета icu) до 63.1-6+deb10u1 или более поздней версии Для программных продуктов Novell Inc.: https://lists.opensuse.org/opensuse-security-announce/2020-04/msg00004.html Для программных продуктов Red Hat Inc.: https://access.redhat.com/errata/RHSA-2020:0738 Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/6IOHSO6BUKC6I66J5PZOMAGFVJ66ZS57/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/X3B5RWJQD5LA45MYLLR55KZJOJ5NVZGP/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/4OOYAMJVLLCLXDTHW3V5UXNULZBBK4O6/ Для Ubuntu: https://usn.ubuntu.com/4305-1/ Для Google Chrome: https://chromereleases.googleblog.com/2020/02/stable-channel-update-for-desktop_24.html https://chromium.googlesource.com/chromium/deps/icu/+/9f4020916eb1f28f3666f018fdcbe6c9a37f0e08 Для Red Hat: https://access.redhat.com/security/cve/CVE-2020-10531 Для Oracle Corp.: https://www.oracle.com/security-alerts/cpujan2021.html Для Astra Linux: Использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16 https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://access.redhat.com/errata/RHSA-2020:0738 https://chromereleases.googleblog.com/2020/02/stable-channel-update-for-desktop_24.html https://chromium.googlesource.com/chromium/deps/icu/+/9f4020916eb1f28f3666f018fdcbe6c9a37f0e08 https://github.com/unicode-org/icu/commit/b7d08bc04a4296982fcef8b6b8a354a9e4e7afca https://github.com/unicode-org/icu/pull/971 https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/4OOYAMJVLLCLXDTHW3V5UXNULZBBK4O6/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/6IOHSO6BUKC6I66J5PZOMAGFVJ66ZS57/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/X3B5RWJQD5LA45MYLLR55KZJOJ5NVZGP/ https://lists.opensuse.org/opensuse-security-announce/2020-04/msg00004.html https://nvd.nist.gov/vuln/detail/CVE-2020-10531 https://security-tracker.debian.org/tracker/CVE-2020-10531 https://usn.ubuntu.com/4305-1/ https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16 https://www.oracle.com/security-alerts/cpujan2021.html https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2020-10531
Прочая информация	Данные уточняются

Последние изменения

Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»