Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2020-05893: Уязвимость запроса гипервизора KVM KVM_GET_EMULATED_CPUID ядра операционной системы Linux, связанная с выходом операции за допустимые границы буфера данных, позволяющая нарушителю нарушить целостность данных, а также вызвать отказ в обслуживании

Описание уязвимости	Уязвимость запроса гипервизора KVM KVM_GET_EMULATED_CPUID ядра операционной системы Linux связана с выходом операции за допустимые границы буфера данных. Эксплуатация уязвимости может позволить нарушителю нарушить целостность данных, а также вызвать отказ в обслуживании
Вендор	Red Hat Inc., Canonical Ltd., ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, Novell Inc.
Наименование ПО	Red Hat Enterprise Linux, Ubuntu, Astra Linux, Debian GNU/Linux, OpenSUSE Leap, Linux
Версия ПО	7 (Red Hat Enterprise Linux) 16.04 LTS (Ubuntu) 1.5 «Смоленск» (Astra Linux) 18.04 LTS (Ubuntu) 1.6 «Смоленск» (Astra Linux) 8.0 (Debian GNU/Linux) 9.0 (Debian GNU/Linux) 12.04 ESM (Ubuntu) 8 (Red Hat Enterprise Linux) 15.0 (OpenSUSE Leap) 10.0 (Debian GNU/Linux) 14.04 ESM (Ubuntu) 20.04 LTS (Ubuntu) 20.10 (Ubuntu) от 3.13 до 5.4 включительно (Linux) 2.12 «Орел» (Astra Linux)
Тип ПО	Операционная система
Операционные системы и аппаратные платформы	Canonical Ltd. Ubuntu 16.04 LTS 32-bit ООО «РусБИТех-Астра» Astra Linux 1.5 «Смоленск» Red Hat Inc. Red Hat Enterprise Linux 7 Canonical Ltd. Ubuntu 16.04 LTS Canonical Ltd. Ubuntu 18.04 LTS ООО «РусБИТех-Астра» Astra Linux 1.6 «Смоленск» Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 Сообщество свободного программного обеспечения Debian GNU/Linux 9.0 Canonical Ltd. Ubuntu 12.04 ESM Red Hat Inc. Red Hat Enterprise Linux 8 Novell Inc. OpenSUSE Leap 15.0 32-bit Novell Inc. OpenSUSE Leap 15.0 Сообщество свободного программного обеспечения Debian GNU/Linux 10.0 Canonical Ltd. Ubuntu 14.04 ESM Canonical Ltd. Ubuntu 20.04 LTS Canonical Ltd. Ubuntu 20.10 Сообщество свободного программного обеспечения Linux от 3.13 до 5.4 включительно ООО «РусБИТех-Астра» Astra Linux 2.12 «Орел»
Тип ошибки	Запись за границами буфера
Идентификатор типа ошибки	CWE-787
Класс уязвимости	Уязвимость кода
Дата выявления	09.01.2020
Базовый вектор уязвимости	AV:L/AC:L/Au:N/C:N/I:P/A:C
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,6)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для Ubuntu: https://usn.ubuntu.com/4254-1/ https://usn.ubuntu.com/4254-2/ https://usn.ubuntu.com/4258-1/ https://usn.ubuntu.com/4284-1/ https://usn.ubuntu.com/4287-1/ https://usn.ubuntu.com/4287-2/ Для Debian: Обновление программного обеспечения (пакета linux-4.9) до 4.9.210-1~deb8u1 или более поздней версии https://lists.debian.org/debian-lts-announce/2020/01/msg00013.html https://lists.debian.org/debian-lts-announce/2020/03/msg00001.html Для Opensuse: http://lists.opensuse.org/opensuse-security-announce/2020-03/msg00021.html Для Red Hat: https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-19332 Для Linux: Обновление программного обеспечения до 4.9.210-1 или более поздней версии https://linux.oracle.com/cve/CVE-2019-19332.html https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit?id=433f4ba1904100da65a311033f17a9bf586b287e Для Astra Linux: Обновление программного обеспечения (пакета linux-4.9) до 4.9.210-1~deb8u1 или более поздней версии Использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Существует в открытом доступе
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	http://lists.opensuse.org/opensuse-security-announce/2020-03/msg00021.html http://packetstormsecurity.com/files/155890/Slackware-Security-Advisory-Slackware-14.2-kernel-Updates.html https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-19332 https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit?id=433f4ba1904100da65a311033f17a9bf586b287e https://linux.oracle.com/cve/CVE-2019-19332.html https://lists.debian.org/debian-lts-announce/2020/01/msg00013.html https://lists.debian.org/debian-lts-announce/2020/03/msg00001.html https://lore.kernel.org/kvm/000000000000ea5ec20598d90e50@google.com/ https://nvd.nist.gov/vuln/detail/CVE-2019-19332 https://security-tracker.debian.org/tracker/CVE-2019-19332 https://usn.ubuntu.com/4254-1/ https://usn.ubuntu.com/4254-2/ https://usn.ubuntu.com/4258-1/ https://usn.ubuntu.com/4284-1/ https://usn.ubuntu.com/4287-1/ https://usn.ubuntu.com/4287-2/ https://wiki.astralinux.ru/astra-linux-se15-bulletin-20201201SE15 https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16 https://www.openwall.com/lists/oss-security/2019/12/16/1
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2019-19332
Прочая информация	Данные уточняются

Последние изменения