Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2021-01317: Уязвимость компонентов системы удалённого доступа к рабочему столу компьютера TightVNC, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Описание уязвимости	Уязвимость компонентов системы удалённого доступа к рабочему столу компьютера TightVNC связана с недостатком механизма проверки размера копируемых данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Вендор	Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра»
Наименование ПО	Debian GNU/Linux, Astra Linux Common Edition (запись в едином реестре российских программ №4433), TightVNC
Версия ПО	8.0 (Debian GNU/Linux) 9.0 (Debian GNU/Linux) 2.12 «Орёл» (Astra Linux Common Edition) 10.0 (Debian GNU/Linux) до 1.3.10 включительно (TightVNC)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 Сообщество свободного программного обеспечения Debian GNU/Linux 9.0 ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл» (запись в едином реестре российских программ №4433) Сообщество свободного программного обеспечения Debian GNU/Linux 10.0
Тип ошибки	Копирование буфера без проверки размера входных данных (классическое переполнение буфера)
Идентификатор типа ошибки	CWE-120
Класс уязвимости	Уязвимость кода
Дата выявления	29.10.2019
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:P/I:P/A:P CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5) Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для tightvnc: Обновление программного обеспечения до 1:1.3.10-1 или более поздней версии Для Debian: Обновление программного обеспечения (пакета tightvnc) до 1:1.3.9-9deb10u1 или более поздней версии Для Astra Linux: Обновление программного обеспечения (пакета tightvnc) до 1:1.3.9-9deb10u1 или более поздней версии
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://nvd.nist.gov/vuln/detail/CVE-2019-8287 https://security-tracker.debian.org/tracker/CVE-2019-8287 https://us-cert.cisa.gov/ics/advisories/icsa-20-343-08 https://www.openwall.com/lists/oss-security/2018/12/10/5
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2019-8287
Прочая информация	Данные уточняются

Последние изменения