Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2020-03916: Уязвимость библиотеки предоставления клиентского API для X Window System libX11, вызванная целочисленным переполнением, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Описание уязвимости	Уязвимость библиотеки предоставления клиентского API для X Window System libX11 вызвана целочисленным переполнением. Эксплуатация уязвимости может позволить нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
Вендор	Red Hat Inc., ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, ООО «Ред Софт», X.Org Foundation, ООО «Юбитех», АО «Концерн ВНИИНС»
Наименование ПО	Red Hat Enterprise Linux, Astra Linux Special Edition (запись в едином реестре российских программ №369), Debian GNU/Linux, Astra Linux Common Edition (запись в едином реестре российских программ №4433), РЕД ОС (запись в едином реестре российских программ №3751), Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), Xlib (libX11), UBLinux (запись в едином реестре российских программ №6874), ОС ОН «Стрелец» (запись в едином реестре российских программ №6177)
Версия ПО	7.0 (Red Hat Enterprise Linux) 1.5 «Смоленск» (Astra Linux Special Edition) 9 (Debian GNU/Linux) 1.6 «Смоленск» (Astra Linux Special Edition) 8.0 (Debian GNU/Linux) 2.12 «Орёл» (Astra Linux Common Edition) 8.0 (Red Hat Enterprise Linux) 10 (Debian GNU/Linux) 7.2 Муром (РЕД ОС) 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус») до 1.6.10 (Xlib (libX11)) до 21.01 (UBLinux) до 16.01.2023 (ОС ОН «Стрелец»)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Red Hat Inc. Red Hat Enterprise Linux 7.0 Power Architecture ООО «РусБИТех-Астра» Astra Linux Special Edition 1.5 «Смоленск» 64-bit (запись в едином реестре российских программ №369) ООО «РусБИТех-Астра» Astra Linux Special Edition 1.5 «Смоленск» (запись в едином реестре российских программ №369) Сообщество свободного программного обеспечения Debian GNU/Linux 9 Red Hat Inc. Red Hat Enterprise Linux 7.0 ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369) Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл» (запись в едином реестре российских программ №4433) Red Hat Inc. Red Hat Enterprise Linux 8.0 Сообщество свободного программного обеспечения Debian GNU/Linux 10 ООО «Ред Софт» РЕД ОС 7.2 Муром (запись в едином реестре российских программ №3751) ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград» (запись в едином реестре российских программ №11156) ООО «Юбитех» UBLinux до 21.01 (запись в едином реестре российских программ №6874) АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023 (запись в едином реестре российских программ №6177)
Тип ошибки	Выход операции за границы буфера в памяти, Целочисленное переполнение или циклический сдвиг
Идентификатор типа ошибки	CWE-119 CWE-190
Класс уязвимости	Уязвимость кода
Дата выявления	05.08.2020
Базовый вектор уязвимости	CVSS 2.0: AV:L/AC:L/Au:N/C:P/I:P/A:P CVSS 3.0: AV:L/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,9)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для libX11: https://lists.x.org/archives/xorg-announce/2020-July/003050.html Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2020-14344 Для Debian: https://security-tracker.debian.org/tracker/CVE-2020-14344 Для Astra Linux: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16 https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81 Для UBLinux: https://security.ublinux.ru/AVG-17 Для ОС ОН «Стрелец»: Обновление программного обеспечения libx11 до версии 2:1.6.4-3+deb9u4
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Существует в открытом доступе
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://access.redhat.com/security/cve/cve-2020-14344 https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2020-14344 https://lists.x.org/archives/xorg-announce/2020-July/003050.html https://nvd.nist.gov/vuln/detail/CVE-2020-14344 https://security.ublinux.ru/CVE-2020-14344 https://security-tracker.debian.org/tracker/CVE-2020-14344 https://wiki.astralinux.ru/astra-linux-se15-bulletin-20201201SE15 https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16 https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81 https://www.openwall.com/lists/oss-security/2020/07/31/1 https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2020-14344
Прочая информация	Данные уточняются

Последние изменения