BDU:2020-02039: Уязвимость системы инициализации Linux systemd, связанная с обращением к памяти после ее освобождения, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Описание уязвимости Уязвимость системы инициализации Linux systemd связана с ошибкой использования кучи после освобождения ее из памяти, когда асинхронные запросы Polkit выполняются при обработки сообщений dbus. Эксплуатация уязвимости позволяет нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Вендор ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, Red Hat Inc., Novell Inc., Lennart Poettering, ООО "Открытая мобильная платформа"
Наименование ПО Astra Linux (запись в едином реестре российских программ №369), Debian GNU/Linux , Red Hat Enterprise Linux , OpenSUSE Leap , Systemd , ОС Аврора (запись в едином реестре российских программ №1543)
Версия ПО
  • 1.6 «Смоленск» (Astra Linux)
  • 8.0 (Debian GNU/Linux)
  • 9.0 (Debian GNU/Linux)
  • 8 (Red Hat Enterprise Linux)
  • 15.1 (OpenSUSE Leap)
  • 10.0 (Debian GNU/Linux)
  • 8.1 «Ленинград» (Astra Linux)
  • 8.0 Update Services for SAP Solutions (Red Hat Enterprise Linux)
  • до 245-rc1 (Systemd)
  • 3.2.1.65 (ОС Аврора)
  • 3.2.2.21 (ОС Аврора)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Тип ошибки Использование после освобождения
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 05.02.2020
Базовый вектор уязвимости
    CVSS 3.0: Вектор не задан
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Systemd:
https://github.com/systemd/systemd/commit/ea0d0ede03c6f18dbc5036c5e9cccf97e415ccc2

Для Debian:
https://security-tracker.debian.org/tracker/CVE-2020-1712

Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16

Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2020-02/msg00014.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2020-1712

Для ОС Аврора:
для версии ОС 3.2.1.65:
https://cve.omprussia.ru/aurora/bulletinsafety_2/
для версии ОС 3.2.2.21:
https://cve.omprussia.ru/aurora/bulletinsafety_3/
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения