БДУ - Уязвимости

BDU:2020-02644: Уязвимость компонента C API системы управления базами данных MySQL Client, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости	Уязвимость компонента C API системы управления базами данных MySQL Client связана с недостатками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании с помощью сетевого протокола MySQL Protocol
Вендор	Red Hat Inc., Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра», Oracle Corp., MariaDB Foundation, АО «Концерн ВНИИНС»
Наименование ПО	Red Hat Enterprise Linux, Debian GNU/Linux, Astra Linux Special Edition (запись в едином реестре российских программ №369), Astra Linux Common Edition (запись в едином реестре российских программ №4433), Red Hat OpenStack Platform, Red Hat Software Collections, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), MySQL Client, MariaDB, ОС ОН «Стрелец» (запись в едином реестре российских программ №6177)
Версия ПО	7.0 (Red Hat Enterprise Linux) 9 (Debian GNU/Linux) 6.0 (Red Hat Enterprise Linux) 1.6 «Смоленск» (Astra Linux Special Edition) 8.0 (Debian GNU/Linux) 2.12 «Орёл» (Astra Linux Common Edition) 8.0 (Red Hat Enterprise Linux) 10 (Debian GNU/Linux) 10 (Red Hat OpenStack Platform) - (Red Hat Software Collections) 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус») от 5.6.0 до 5.6.47 включительно (MySQL Client) от 5.7.0 до 5.7.27 включительно (MySQL Client) от 8.0.0 до 8.0.17 включительно (MySQL Client) до 5.5.68 (MariaDB) от 10.1.0 до 10.1.45 (MariaDB) от 10.2.0 до 10.2.32 (MariaDB) от 10.3.0 до 10.3.23 (MariaDB) от 10.4.0 до 10.4.13 (MariaDB) до 16.01.2023 (ОС ОН «Стрелец»)
Тип ПО	Операционная система, ПО программно-аппаратного средства, Прикладное ПО информационных систем, СУБД
Операционные системы и аппаратные платформы	Red Hat Inc. Red Hat Enterprise Linux 7.0 Power Architecture Сообщество свободного программного обеспечения Debian GNU/Linux 9 Red Hat Inc. Red Hat Enterprise Linux 6.0 Red Hat Inc. Red Hat Enterprise Linux 7.0 ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369) Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл» (запись в едином реестре российских программ №4433) Red Hat Inc. Red Hat Enterprise Linux 8.0 Сообщество свободного программного обеспечения Debian GNU/Linux 10 ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград» (запись в едином реестре российских программ №11156) АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023 (запись в едином реестре российских программ №6177)
Тип ошибки	Разрешения, привилегии и средства управления доступом
Идентификатор типа ошибки	CWE-264
Класс уязвимости	Уязвимость архитектуры
Дата выявления	12.04.2020
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:M/Au:S/C:N/I:N/A:P CVSS 3.0: AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H
Уровень опасности уязвимости	Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 3,5) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для программных продуктов Oracle Corp.: https://www.oracle.com/security-alerts/cpuapr2020.html Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2020-2752 Для программных продуктов RedHat Inc.: https://access.redhat.com/security/cve/cve-2020-2752 Для MariaDB: использование рекомендаций производителя: https://mariadb.com/kb/en/security/ Для ОС Astra Linux: использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16 https://wiki.astralinux.ru/pages/viewpage.action?pageId=47416144 https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81 Для ОС ОН «Стрелец»: Обновление программного обеспечения mariadb-10.1 до версии 10.1.48+repack-0+deb9u2.osnova1
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Нарушение авторизации
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://access.redhat.com/security/cve/cve-2020-2752 https://mariadb.com/kb/en/mariadb-10145-release-notes/ https://mariadb.com/kb/en/mariadb-10232-release-notes/ https://mariadb.com/kb/en/mariadb-10323-release-notes/ https://mariadb.com/kb/en/mariadb-10413-release-notes/ https://mariadb.com/kb/en/mariadb-5568-release-notes/ https://mariadb.com/kb/en/security/ https://nvd.nist.gov/vuln/detail/CVE-2020-2752 https://security-tracker.debian.org/tracker/CVE-2020-2752 https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16 https://www.oracle.com/security-alerts/cpuapr2020.html https://wiki.astralinux.ru/pages/viewpage.action?pageId=47416144 https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81 https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2020-2752
Прочая информация	Данные уточняются

Последние изменения

27.11.2023 Уязвимость программного обеспечения Blitz Identity Provider, связанная с возможностью перенаправления URL-адреса, позволяющая нарушителю перенаправить пользователя на произвольный URL-адрес
27.11.2023 Уязвимость метода UpdateAction программного обеспечения сетевого мониторинга SolarWinds Orion, позволяющая нарушителю выполнить произвольный код с привилегиями сетевой службы (NETWORK SERVICE)
27.11.2023 Уязвимость программного обеспечения управления и конфигурирования сети Siemens SINEMA Server, позволяющая нарушителю выполнить произвольный код с привилегиями SYSTEM
27.11.2023 Уязвимость функции mremap() ядра операционных систем Linux, позволяющая нарушителю вызвать отказ в обслуживании или повысить свои привилегии
27.11.2023 Уязвимость реализации протоколов TLS и SSL VPN-клиента Cisco AnyConnect микропрограммного обеспечения межсетевых экранов Cisco Adaptive Security Appliance (ASA) и Cisco Firepower Threat Defense (FTD), позволяющая нарушителю вызвать отказ в обслуживании
27.11.2023 Уязвимость программного обеспечения для защиты от вредоносных программ Cisco Secure Endpoint Connector для Windows, связанная с ошибками синхронизации при использовании общего ресурса («Ситуация гонки»), позволяющая нарушителю вызвать отказ в обслуживании
27.11.2023 Уязвимость веб-интерфейса управления платформы управления политиками соединений Cisco Identity Services Engine (ISE), позволяющая нарушителю загрузить произвольные файлы
27.11.2023 Уязвимость средства обеспечения безопасности конечных точек Cisco Secure Client (ранее Cisco AnyConnect Secure Mobility Client), связанная с некорректной зачисткой или освобождением ресурсов, позволяющая нарушителю вызвать отказ в обслуживании
27.11.2023 Уязвимость средства обеспечения безопасности конечных точек Cisco Secure Client (ранее Cisco AnyConnect Secure Mobility Client), связанная с некорректной зачисткой или освобождением ресурсов, позволяющая нарушителю вызвать отказ в обслуживании
27.11.2023 Уязвимость режима чтения (Reader Mode) браузера Firefox for iOS, позволяющая нарушителю повысить свои привилегии

Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2020-02644: Уязвимость компонента C API системы управления базами данных MySQL Client, позволяющая нарушителю вызвать отказ в обслуживании