BDU:2021-01129: Уязвимость компонента gdhcp диспетчера соединений Connman, позволяющая нарушителю раскрыть защищаемую информацию

Описание уязвимости Уязвимость компонента gdhcp диспетчера соединений Connman связана с ошибкой освобождения памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, раскрыть защищаемую информацию
Вендор ConnMan Project, ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, Novell Inc., ООО «Открытая мобильная платформа», АО "НППКТ"
Наименование ПО Connman, Astra Linux Special Edition (запись в едином реестре российских программ №369), Debian GNU/Linux, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), OpenSUSE Leap, ОС Аврора (запись в едином реестре российских программ №1543), ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО
  • до 1.34 включительно (Connman)
  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 9.0 (Debian GNU/Linux)
  • 10.0 (Debian GNU/Linux)
  • 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
  • 15.2 (OpenSUSE Leap)
  • до 3.2.3.31 (ОС Аврора)
  • 1.7 (Astra Linux Special Edition)
  • 4.7 (Astra Linux Special Edition)
  • до 2.1 (ОСОН ОСнова Оnyx)
Тип ПО ПО сетевого программно-аппаратного средства, Операционная система
Операционные системы и аппаратные платформы
Тип ошибки Неправильное освобождение памяти перед удалением последней ссылки («утечка памяти»)
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 09.02.2021
Базовый вектор уязвимости
Уровень опасности уязвимости Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 3,3)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для ConnMan:
https://git.kernel.org/pub/scm/network/connman/connman.git/commit/?id=a74524b3e3fad81b0fd1084ffdf9f2ea469cd9b1
https://git.kernel.org/pub/scm/network/connman/connman.git/commit/?id=58d397ba74873384aee449690a9070bacd5676fa

Для Debian GNU/Linux:
https://www.debian.org/security/2021/dsa-4847
https://lists.debian.org/debian-lts-announce/2021/02/msg00013.html

Для программных продуктов Novell Inc.:
https://bugzilla.suse.com/show_bug.cgi?id=1181751



Для Astra Linux:

Использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47

Для ОС Аврора 3.2.1:
https://cve.omprussia.ru/bb4321
Для ОС Аврора 3.2.2:
https://cve.omprussia.ru/bb5322
Для ОС Аврора 3.2.3:
https://cve.omprussia.ru/bb6323

Для ОСОН Основа:
Обновление программного обеспечения connman до версии 1.36-2.1~deb10u2
Статус уязвимости Подтверждена производителем
Наличие эксплойта Существует
Способ эксплуатации
  • Манипулирование ресурсами
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения