Банк данных угроз безопасности информации
Федеральная служба по техническому и экспортному контролю
ФСТЭК России
Государственный научно-исследовательский испытательный институт проблем технической защиты информации
ФАУ «ГНИИИ ПТЗИ ФСТЭК России»
Toggle navigation
Угрозы
Перечень угроз
Новый раздел угроз
Уязвимости
Список уязвимостей
Типовые уязвимости веб-приложений
Наиболее опасные уязвимости
Инфографика
Калькулятор CVSS V2
Калькулятор CVSS V3
Калькулятор CVSS V3.1
ScanOVAL
ScanOVAL для Linux
Тестирование обновлений
Документы
Термины
Регламент включения уязвимостей
Все документы
Обратная связь
Написать администратору
Электронная почта
Сообщить об уязвимости
Сообщить об угрозе
Обновления
Новости сайта
Список каналов (RSS, Atom)
Telegram
Участники
Организации
Исследователи
Рейтинг исследователей
Обучение
ФСТЭК России
Главная
Список уязвимостей
BDU:2021-01742
BDU:2021-01742: Уязвимость вызова realloc() пакета программ сетевого взаимодействия Samba, связанная с использованием памяти после её освобождения, позволяющая нарушителю вызвать отказ в обслуживании
Вид
Список
Плитка
Для печати
Основная информация
Подробнее
Описание уязвимости
Уязвимость вызова realloc() пакета программ сетевого взаимодействия Samba связана с использованием памяти после её освобождения. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Вендор
Canonical Ltd., Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра», Fedora Project, Samba Team, АО «Концерн ВНИИНС»
Наименование ПО
Ubuntu, Debian GNU/Linux, Astra Linux Common Edition (
запись в едином реестре российских программ №4433
), Fedora, Samba, ОС ОН «Стрелец» (
запись в едином реестре российских программ №6177
)
Версия ПО
16.04 LTS (Ubuntu)
9 (Debian GNU/Linux)
18.04 LTS (Ubuntu)
8.0 (Debian GNU/Linux)
19.04 (Ubuntu)
2.12 «Орёл» (Astra Linux Common Edition)
30 (Fedora)
10 (Debian GNU/Linux)
31 (Fedora)
19.10 (Ubuntu)
от 4.10.0 до 4.10.12 (Samba)
от 4.11.0 до 4.11.5 (Samba)
от 4.9.0 до 4.9.18 (Samba)
до 16.01.2023 (ОС ОН «Стрелец»)
Тип ПО
Операционная система, Сетевое программное средство
Операционные системы и аппаратные платформы
Canonical Ltd. Ubuntu 16.04 LTS 32-bit
Сообщество свободного программного обеспечения Debian GNU/Linux 9
Canonical Ltd. Ubuntu 18.04 LTS
Сообщество свободного программного обеспечения Debian GNU/Linux 8.0
Canonical Ltd. Ubuntu 19.04
ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл» (
запись в едином реестре российских программ №4433
)
Fedora Project Fedora 30
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Fedora Project Fedora 31
Canonical Ltd. Ubuntu 19.10
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023 (
запись в едином реестре российских программ №6177
)
Тип ошибки
Использование после освобождения
Идентификатор типа ошибки
CWE-416
Класс уязвимости
Уязвимость кода
Дата выявления
21.01.2020
Базовый вектор уязвимости
CVSS 2.0:
AV:N/AC:L/Au:S/C:N/I:N/A:P
CVSS 3.0:
AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
Уровень опасности уязвимости
Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Samba:
Обновление программного обеспечения до 2:4.13.3+dfsg-1 или более поздней версии
Для Debian:
Обновление программного обеспечения (пакета samba) до 2:4.11.5+dfsg-1 или более поздней версии
Для Astra Linux:
Обновление программного обеспечения (пакета samba) до 2:4.11.5+dfsg-1 или более поздней версии
Для Ubuntu:
https://ubuntu.com/security/notices/USN-4244-1
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/4ACZVNMIFQGGXNJPMHAVBN3H2U65FXQY/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/GQ6U65I2K23YJC4FESW477WL55TU3PPT/
Для ОС ОН «Стрелец»:
Обновление программного обеспечения samba до версии 2:4.13.17+repack-1osnova1strelets
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Способ эксплуатации
Манипулирование структурами данных
Способ устранения
Обновление программного обеспечения
Информация об устранении
Уязвимость устранена
Ссылки на источники
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/4ACZVNMIFQGGXNJPMHAVBN3H2U65FXQY/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/GQ6U65I2K23YJC4FESW477WL55TU3PPT/
https://nvd.nist.gov/vuln/detail/CVE-2019-19344
https://security-tracker.debian.org/tracker/CVE-2019-19344
https://ubuntu.com/security/notices/USN-4244-1
https://www.samba.org/samba/security/CVE-2019-19344.html
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023
Идентификаторы других систем описаний уязвимостей
CVE:
CVE-2019-19344
Прочая информация
Данные уточняются
Последние изменения
27.11.2023
Уязвимость программного обеспечения Blitz Identity Provider, связанная с возможностью перенаправления URL-адреса, позволяющая нарушителю перенаправить пользователя на произвольный URL-адрес
27.11.2023
Уязвимость метода UpdateAction программного обеспечения сетевого мониторинга SolarWinds Orion, позволяющая нарушителю выполнить произвольный код с привилегиями сетевой службы (NETWORK SERVICE)
27.11.2023
Уязвимость программного обеспечения управления и конфигурирования сети Siemens SINEMA Server, позволяющая нарушителю выполнить произвольный код с привилегиями SYSTEM
27.11.2023
Уязвимость функции mremap() ядра операционных систем Linux, позволяющая нарушителю вызвать отказ в обслуживании или повысить свои привилегии
27.11.2023
Уязвимость реализации протоколов TLS и SSL VPN-клиента Cisco AnyConnect микропрограммного обеспечения межсетевых экранов Cisco Adaptive Security Appliance (ASA) и Cisco Firepower Threat Defense (FTD), позволяющая нарушителю вызвать отказ в обслуживании
27.11.2023
Уязвимость программного обеспечения для защиты от вредоносных программ Cisco Secure Endpoint Connector для Windows, связанная с ошибками синхронизации при использовании общего ресурса («Ситуация гонки»), позволяющая нарушителю вызвать отказ в обслуживании
27.11.2023
Уязвимость веб-интерфейса управления платформы управления политиками соединений Cisco Identity Services Engine (ISE), позволяющая нарушителю загрузить произвольные файлы
27.11.2023
Уязвимость средства обеспечения безопасности конечных точек Cisco Secure Client (ранее Cisco AnyConnect Secure Mobility Client), связанная с некорректной зачисткой или освобождением ресурсов, позволяющая нарушителю вызвать отказ в обслуживании
27.11.2023
Уязвимость средства обеспечения безопасности конечных точек Cisco Secure Client (ранее Cisco AnyConnect Secure Mobility Client), связанная с некорректной зачисткой или освобождением ресурсов, позволяющая нарушителю вызвать отказ в обслуживании
27.11.2023
Уязвимость режима чтения (Reader Mode) браузера Firefox for iOS, позволяющая нарушителю повысить свои привилегии