Банк данных угроз безопасности информации
Федеральная служба по техническому и экспортному контролю
ФСТЭК России
Государственный научно-исследовательский испытательный институт проблем технической защиты информации
ФАУ «ГНИИИ ПТЗИ ФСТЭК России»
Toggle navigation
Угрозы
Перечень угроз
Новый раздел угроз
Уязвимости
Список уязвимостей
Типовые уязвимости веб-приложений
Наиболее опасные уязвимости
Инфографика
Калькулятор CVSS V2
Калькулятор CVSS V3
Калькулятор CVSS V3.1
ScanOVAL
ScanOVAL для Linux
Тестирование обновлений
Документы
Термины
Регламент включения уязвимостей
Все документы
Обратная связь
Написать администратору
Электронная почта
Сообщить об уязвимости
Сообщить об угрозе
Обновления
Новости сайта
Список каналов (RSS, Atom)
Telegram
Участники
Организации
Исследователи
Рейтинг исследователей
Обучение
ФСТЭК России
Главная
Список уязвимостей
BDU:2021-03123
BDU:2021-03123: Уязвимость библиотеки glibc операционной системы Аврора, связанная с чтением за границами буфера в памяти, позволяющая нарушителю вызвать отказ в обслуживании
Вид
Список
Плитка
Для печати
Основная информация
Подробнее
Описание уязвимости
Уязвимость библиотеки glibc операционной системы Аврора связана с чтением за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Вендор
Сообщество свободного программного обеспечения, ООО «Открытая мобильная платформа», The GNU Project, ООО «РусБИТех-Астра», АО "НППКТ"
Наименование ПО
Debian GNU/Linux, ОС Аврора (
запись в едином реестре российских программ №1543
), glibc, Astra Linux Special Edition (
запись в едином реестре российских программ №369
), ОСОН ОСнова Оnyx (
запись в едином реестре российских программ №5913
)
Версия ПО
10 (Debian GNU/Linux)
3.2.1.65 (ОС Аврора)
3.2.2.21 (ОС Аврора)
11 (Debian GNU/Linux)
до 2.32 включительно (glibc)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
до 2.5.1 (ОСОН ОСнова Оnyx)
Тип ПО
Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Сообщество свободного программного обеспечения Debian GNU/Linux 10
ООО «Открытая мобильная платформа» ОС Аврора 3.2.1.65 (
запись в едином реестре российских программ №1543
)
ООО «Открытая мобильная платформа» ОС Аврора 3.2.2.21 (
запись в едином реестре российских программ №1543
)
Сообщество свободного программного обеспечения Debian GNU/Linux 11
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 (
запись в едином реестре российских программ №369
)
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 ARM (
запись в едином реестре российских программ №369
)
Тип ошибки
Чтение за границами буфера
Идентификатор типа ошибки
CWE-125
Класс уязвимости
Уязвимость кода
Дата выявления
16.06.2021
Базовый вектор уязвимости
CVSS 2.0:
AV:N/AC:M/Au:N/C:N/I:N/A:C
CVSS 3.0:
AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,9)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для ОС Аврора:
для версии ОС 3.2.1.65:
https://cve.omprussia.ru/bb2321
для версии ОС 3.2.2.21:
https://cve.omprussia.ru/bb3322
Для ОС Astra Linux:
использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17
Для GNU C Library:
использование рекомендаций производителя:
https://sourceware.org/git/?p=glibc.git;a=commit;h=ee7a3144c9922808181009b7b3e50e852fb4999b
Для Debian:
использование рекомендаций производителя:
https://security-tracker.debian.org/tracker/CVE-2019-25013
Для ОСОН Основа:
Обновление программного обеспечения glibc до версии 2.28-10+deb10u1osnova0
Для Astra Linux Special Edition 4.7 (для архитектуры ARM):
использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Способ эксплуатации
Манипулирование структурами данных
Способ устранения
Обновление программного обеспечения
Информация об устранении
Уязвимость устранена
Ссылки на источники
https://nvd.nist.gov/vuln/detail/CVE-2019-25013
https://sourceware.org/bugzilla/show_bug.cgi?id=24973
https://cve.omprussia.ru/bb2321
https://cve.omprussia.ru/bb3322
https://security-tracker.debian.org/tracker/CVE-2019-25013
https://sourceware.org/git/?p=glibc.git;a=commit;h=ee7a3144c9922808181009b7b3e50e852fb4999b
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.5.1/
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47
Идентификаторы других систем описаний уязвимостей
CVE:
CVE-2019-25013
Прочая информация
Данные уточняются
Последние изменения
22.09.2023
Уязвимость плагина Airflow Sqoop Provider программного обеспечения создания, мониторинга и оркестрации сценариев обработки данных Airflow, позволяющая нарушителю выполнить произвольный код
22.09.2023
Уязвимость микропрограммного обеспечения серверов последовательных интерфейсов Advantech EKI-1524, EKI-1522, EKI-1521, позволяющая нарушителю выполнять произвольные команды
22.09.2023
Уязвимость антивирусных программных средств Trend Micro Apex One и Apex One as a Service, связанная с возможностью обхода пути, позволяющая нарушителю выполнить произвольный код с системными привилегиями
22.09.2023
Уязвимость функции kmalloc_reserve() в модуле net/core/skbuff.c сетевой подсистемы ядра операционной системы Linux, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
22.09.2023
Уязвимость платформы управления жизненным циклом приложений для разработки продуктов и программного обеспечения PTC Codebeamer, существующая из-за непринятия мер по защите структуры веб-страницы, позволяющая нарушителю выполнить произвольный код
22.09.2023
Уязвимость сценария compress-inc.php приложения для загрузки и скачивания файлов для совместного использования Openupload, позволяющая нарушителю выполнить произвольный код
22.09.2023
Уязвимость сценария H5/hi_block.asp микропрограммного обеспечения маршрутизаторов D-Link DI-7200G V2.E1, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
22.09.2023
Уязвимость микропрограммного обеспечения маршрутизаторов TP-LINK TL-ER5120G, связанная с недостатками процедуры аутентификации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
22.09.2023
Уязвимость VPN-сервиса HPE Aruba Networking Virtual Intranet Access Client (VIA), связанная с недостатками разграничения доступа, позволяющая нарушителю вызвать отказ в обслуживании
22.09.2023
Уязвимость компонента builtin.c утиилиты переформатирования данных по заданным шаблонам Gawk, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации или вызвать отказ в обслуживании