Банк данных угроз безопасности информации
Федеральная служба по техническому и экспортному контролю
ФСТЭК России
Государственный научно-исследовательский испытательный институт проблем технической защиты информации
ФАУ «ГНИИИ ПТЗИ ФСТЭК России»
Toggle navigation
Угрозы
Перечень угроз
Новый раздел угроз
Уязвимости
Список уязвимостей
Типовые уязвимости веб-приложений
Наиболее опасные уязвимости
Инфографика
Калькулятор CVSS V2
Калькулятор CVSS V3
Калькулятор CVSS V3.1
ScanOVAL
ScanOVAL для Linux
Тестирование обновлений
Документы
Термины
Регламент включения уязвимостей
Все документы
Обратная связь
Написать администратору
Электронная почта
Сообщить об уязвимости
Сообщить об угрозе
Обновления
Новости сайта
Список каналов (RSS, Atom)
Telegram
Участники
Организации
Исследователи
Рейтинг исследователей
Обучение
ФСТЭК России
Главная
Список уязвимостей
BDU:2021-03616
BDU:2021-03616: Уязвимость библиотеки для регулярных выражений Oniguruma, связанная с неконтролируемой рекурсией, позволяющая нарушителю вызвать отказ в обслуживании
Вид
Список
Плитка
Для печати
Основная информация
Подробнее
Описание уязвимости
Уязвимость библиотеки для регулярных выражений Oniguruma связана с неконтролируемой рекурсией. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Вендор
Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра», K. Kosako, АО "НППКТ", АО «Концерн ВНИИНС»
Наименование ПО
Debian GNU/Linux, Astra Linux Special Edition (
запись в едином реестре российских программ №369
), Astra Linux Special Edition для «Эльбрус» (
запись в едином реестре российских программ №11156
), Oniguruma, ОСОН ОСнова Оnyx (
запись в едином реестре российских программ №5913
), ОС ОН «Стрелец» (
запись в едином реестре российских программ №6177
)
Версия ПО
9 (Debian GNU/Linux)
1.6 «Смоленск» (Astra Linux Special Edition)
8.0 (Debian GNU/Linux)
10 (Debian GNU/Linux)
8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
до 6.9.3 (Oniguruma)
до 2.5 (ОСОН ОСнова Оnyx)
до 16.01.2023 (ОС ОН «Стрелец»)
Тип ПО
Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Сообщество свободного программного обеспечения Debian GNU/Linux 9
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (
запись в едином реестре российских программ №369
)
Сообщество свободного программного обеспечения Debian GNU/Linux 8.0
Сообщество свободного программного обеспечения Debian GNU/Linux 10
ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград» (
запись в едином реестре российских программ №11156
)
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023 (
запись в едином реестре российских программ №6177
)
Тип ошибки
Неконтролируемая рекурсия
Идентификатор типа ошибки
CWE-674
Класс уязвимости
Уязвимость кода
Дата выявления
10.09.2019
Базовый вектор уязвимости
CVSS 2.0:
AV:N/AC:L/Au:N/C:N/I:N/A:P
CVSS 3.0:
AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Уровень опасности уязвимости
Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости
Для Oniguruma:
Использование рекомендаций производителя:
https://github.com/kkos/oniguruma/issues/147
Для Debian:
Использование рекомендаций производителя:
https://security-tracker.debian.org/tracker/CVE-2019-16163
Для Astra Linux:
Использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/pages/viewpage.action?pageId=47416144
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
Для ОСОН Основа:
Обновление программного обеспечения libonig до версии 6.9.6-1.2
Для ОС ОН «Стрелец»:
Обновление программного обеспечения libonig до версии 6.1.3-2+deb9u2
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует в открытом доступе
Способ эксплуатации
Манипулирование ресурсами
Способ устранения
Обновление программного обеспечения
Информация об устранении
Уязвимость устранена
Ссылки на источники
https://github.com/kkos/oniguruma/commit/4097828d7cc87589864fecf452f2cd46c5f37180
https://github.com/kkos/oniguruma/compare/v6.9.2...v6.9.3
https://github.com/kkos/oniguruma/issues/147
https://nvd.nist.gov/vuln/detail/CVE-2019-16163
https://security-tracker.debian.org/tracker/CVE-2019-16163
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/pages/viewpage.action?pageId=47416144
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.5/
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023
Идентификаторы других систем описаний уязвимостей
CVE:
CVE-2019-16163
Прочая информация
Данные уточняются
Последние изменения
08.12.2023
Уязвимость веб-интерфейса системы управления базами данных H2, позволяющая нарушителю повысить свои привилегии
08.12.2023
Уязвимость платформы анализа данных Hazelcast, связанная с недостатками процедуры авторизации, позволяющая нарушителю выполнять произвольные действия
08.12.2023
Уязвимость модуля mod_webdav.so микропрограммного обеспечения маршрутизаторов Wi-Fi ASUS RT-AX92U, позволяющая нарушителю получить доступ к защищаемой информации
08.12.2023
Уязвимость функции wanStat_detail микропрограммного обеспечения маршрутизаторов Wi-Fi ASUS RT-AC86U, позволяющая нарушителю выполнить произвольную команду или вызвать отказ в обслуживании
08.12.2023
Уязвимость функции Traffic Analyzer - Statistic микропрограммного обеспечения маршрутизаторов Wi-Fi ASUS RT-AC86U, позволяющая нарушителю выполнить произвольную команду или вызвать отказ в обслуживании
08.12.2023
Уязвимость функции переименования файлов операционной системы ASUSTOR Data Master (ADM), позволяющая нарушителю перемещать произвольные файлы
08.12.2023
Уязвимость интерфейса VAPIX API (irissetup.cgi) операционной системы AXIS OS, позволяющая нарушителю удалить произвольные файлы
08.12.2023
Уязвимость интерфейса VAPIX API (dynamicoverlay.cgi) операционной системы AXIS OS, позволяющая нарушителю вызвать отказ в обслуживании
08.12.2023
Уязвимость интерфейса VAPIX API (overlay_del.cgi) операционной системы AXIS OS, позволяющая нарушителю удалить произвольные файлы
08.12.2023
Уязвимость файла «search.cgi» программного средства для проверки номерных знаков License Plate Verifier, позволяющая нарушителю выполнять произвольные SQL-запросы