Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2020-04717: Уязвимость функции Blit1to4 библиотеки Simple DirectMedia Layer, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Описание уязвимости	Уязвимость функции Blit1to4 (video/SDL_blit_1.c.) библиотеки Simple DirectMedia Layer связана с переполнением буфера на основе кучи. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
Вендор	АО «НПО РусБИТех», Canonical Ltd., Novell Inc., Сообщество свободного программного обеспечения, Fedora Project
Наименование ПО	Astra Linux, Ubuntu, OpenSUSE Leap, Suse Linux Enterprise Desktop, SUSE Linux Enterprise Server for SAP Applications, SUSE Linux Enterprise Software Development Kit, Debian GNU/Linux, Suse Linux Enterprise Server, SDL, SUSE Linux Enterprise Module for Desktop Applications, SUSE Linux Enterprise Point of Sale, Fedora, SUSE Linux Enterprise High Performance Computing
Версия ПО	1.5 «Смоленск» (Astra Linux) 16.04 LTS (Ubuntu) 42.3 (OpenSUSE Leap) 18.04 LTS (Ubuntu) 12 SP3 (Suse Linux Enterprise Desktop) 12 SP4 (Suse Linux Enterprise Desktop) 12 SP3 (SUSE Linux Enterprise Server for SAP Applications) 12 SP4 (SUSE Linux Enterprise Server for SAP Applications) 12 SP3 (SUSE Linux Enterprise Software Development Kit) 12 SP4 (SUSE Linux Enterprise Software Development Kit) 8.0 (Debian GNU/Linux) 12 SP3 (Suse Linux Enterprise Server) 12 SP4 (Suse Linux Enterprise Server) 11 SP4 (Suse Linux Enterprise Server) 11 SP4 (SUSE Linux Enterprise Software Development Kit) 12.04 ESM (Ubuntu) 19.04 (Ubuntu) до 1.2.15 включительно (SDL) от 2.0.0 до 2.0.9 включительно (SDL) 15.0 (OpenSUSE Leap) 15 (SUSE Linux Enterprise Module for Desktop Applications) 15 SP1 (SUSE Linux Enterprise Module for Desktop Applications) 11 SP3 (SUSE Linux Enterprise Point of Sale) 11 SP4 (SUSE Linux Enterprise Server for SAP Applications) 15.1 (OpenSUSE Leap) 14.04 ESM (Ubuntu) 12 SP5 (Suse Linux Enterprise Server) 12 SP5 (SUSE Linux Enterprise Software Development Kit) 31 (Fedora) 12 SP5 (SUSE Linux Enterprise High Performance Computing)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	АО «НПО РусБИТех» Astra Linux 1.5 «Смоленск» Canonical Ltd. Ubuntu 16.04 LTS Novell Inc. OpenSUSE Leap 42.3 Canonical Ltd. Ubuntu 18.04 LTS Novell Inc. Suse Linux Enterprise Desktop 12 SP3 Novell Inc. Suse Linux Enterprise Desktop 12 SP4 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4 Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 Novell Inc. Suse Linux Enterprise Server 12 SP3 Novell Inc. Suse Linux Enterprise Server 12 SP4 Novell Inc. Suse Linux Enterprise Server 11 SP4 Canonical Ltd. Ubuntu 12.04 ESM Canonical Ltd. Ubuntu 19.04 Novell Inc. OpenSUSE Leap 15.0 Novell Inc. SUSE Linux Enterprise Server for SAP Applications 11 SP4 Novell Inc. OpenSUSE Leap 15.1 Canonical Ltd. Ubuntu 14.04 ESM Novell Inc. Suse Linux Enterprise Server 12 SP5 Fedora Project Fedora 31
Тип ошибки	Чтение за границами буфера
Идентификатор типа ошибки	CWE-125
Класс уязвимости	Уязвимость кода
Дата выявления	07.02.2019
Базовый вектор уязвимости	AV:N/AC:M/Au:N/C:P/I:P/A:P
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,3)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для Simple DirectMedia Layer: Обновление библиотеки Simple DirectMedia Layer до актуальной версии Для Astralinux: Использование рекомендаций в Бюллетене № 20190329SE15: https://wiki.astralinux.ru/pages/viewpage.action?pageId=1212483 Для Ubuntu: https://usn.ubuntu.com/4143-1/ https://usn.ubuntu.com/4156-1/ https://usn.ubuntu.com/4156-2/ https://usn.ubuntu.com/4238-1/ Для Debian GNU/Linux: https://lists.debian.org/debian-lts-announce/2019/10/msg00021.html https://lists.debian.org/debian-lts-announce/2019/10/msg00020.html https://lists.debian.org/debian-lts-announce/2019/07/msg00026.html https://lists.debian.org/debian-lts-announce/2019/07/msg00021.html https://lists.debian.org/debian-lts-announce/2019/03/msg00016.html https://lists.debian.org/debian-lts-announce/2019/03/msg00015.html Для программных продуктов Novell Inc.: https://lists.opensuse.org/opensuse-security-announce/2019-09/msg00030.html https://lists.opensuse.org/opensuse-security-announce/2019-09/msg00014.html https://lists.opensuse.org/opensuse-security-announce/2019-04/msg00088.html https://lists.opensuse.org/opensuse-security-announce/2019-04/msg00073.html https://lists.opensuse.org/opensuse-security-announce/2019-04/msg00063.html Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/7ZO47LLKKRXKMUGSRCFNHSTHG5OEBYCG/
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://www.suse.com/support/update/announcement/2019/suse-su-201913998-1/ https://nvd.nist.gov/vuln/detail/CVE-2019-7635 https://usn.ubuntu.com/4143-1/ https://usn.ubuntu.com/4156-1/ https://usn.ubuntu.com/4156-2/ https://usn.ubuntu.com/4238-1/ https://wiki.astralinux.ru/pages/viewpage.action?pageId=1212483 https://lists.debian.org/debian-lts-announce/2019/10/msg00021.html https://lists.debian.org/debian-lts-announce/2019/10/msg00020.html https://lists.debian.org/debian-lts-announce/2019/07/msg00026.html https://lists.debian.org/debian-lts-announce/2019/07/msg00021.html https://lists.debian.org/debian-lts-announce/2019/03/msg00016.html https://lists.debian.org/debian-lts-announce/2019/03/msg00015.html https://lists.opensuse.org/opensuse-security-announce/2019-09/msg00030.html https://lists.opensuse.org/opensuse-security-announce/2019-09/msg00014.html https://lists.opensuse.org/opensuse-security-announce/2019-04/msg00088.html https://lists.opensuse.org/opensuse-security-announce/2019-04/msg00073.html https://lists.opensuse.org/opensuse-security-announce/2019-04/msg00063.html https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/7ZO47LLKKRXKMUGSRCFNHSTHG5OEBYCG/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2019-7635
Прочая информация	Данные уточняются

Последние изменения