БДУ - Уязвимости

BDU:2021-03123: Уязвимость библиотеки glibc операционной системы Аврора, связанная с чтением за границами буфера в памяти, позволяющая нарушителю вызвать отказ в обслуживании

Основная информация
Подробнее

Описание уязвимости

Уязвимость библиотеки glibc операционной системы Аврора связана с чтением за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

Сообщество свободного программного обеспечения, ООО «Открытая мобильная платформа», The GNU Project, ООО «РусБИТех-Астра», АО "НППКТ"

Наименование ПО

Debian GNU/Linux, ОС Аврора (запись в едином реестре российских программ №1543), glibc, Astra Linux Special Edition (запись в едином реестре российских программ №369), ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)

Версия ПО

10.0 (Debian GNU/Linux)
3.2.1.65 (ОС Аврора)
3.2.2.21 (ОС Аврора)
11.0 (Debian GNU/Linux)
до 2.32 включительно (glibc)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
до 2.5.1 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система, Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 10.0
ООО «Открытая мобильная платформа» ОС Аврора 3.2.1.65 (запись в едином реестре российских программ №1543)
ООО «Открытая мобильная платформа» ОС Аврора 3.2.2.21 (запись в едином реестре российских программ №1543)
Сообщество свободного программного обеспечения Debian GNU/Linux 11.0
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 (запись в едином реестре российских программ №369)
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 ARM (запись в едином реестре российских программ №369)

Тип ошибки

Чтение за границами буфера

Идентификатор типа ошибки

CWE-125

Класс уязвимости

Уязвимость кода

Дата выявления

16.06.2021

Базовый вектор уязвимости

CVSS 2.0: AV:N/AC:M/Au:N/C:N/I:N/A:C

CVSS 3.0: AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,9)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для ОС Аврора:
для версии ОС 3.2.1.65:
https://cve.omprussia.ru/bb2321
для версии ОС 3.2.2.21:
https://cve.omprussia.ru/bb3322

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17

Для GNU C Library:
использование рекомендаций производителя: https://sourceware.org/git/?p=glibc.git;a=commit;h=ee7a3144c9922808181009b7b3e50e852fb4999b

Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2019-25013

Для ОСОН Основа:
Обновление программного обеспечения glibc до версии 2.28-10+deb10u1osnova0

Для Astra Linux Special Edition 4.7 (для архитектуры ARM):
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Способ эксплуатации

Манипулирование структурами данных

Способ устранения

Обновление программного обеспечения

Информация об устранении

Уязвимость устранена

Ссылки на источники

https://nvd.nist.gov/vuln/detail/CVE-2019-25013
https://sourceware.org/bugzilla/show_bug.cgi?id=24973
https://cve.omprussia.ru/bb2321
https://cve.omprussia.ru/bb3322
https://security-tracker.debian.org/tracker/CVE-2019-25013
https://sourceware.org/git/?p=glibc.git;a=commit;h=ee7a3144c9922808181009b7b3e50e852fb4999b
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.5.1/
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47

Идентификаторы других систем описаний уязвимостей

CVE: CVE-2019-25013

Прочая информация