БДУ - Уязвимости

BDU:2021-05310: Уязвимость функции SNC_io_parser::read_sloop() компонента Nef_S2/SNC_io_parser.h библиотеки алгоритмов вычислительной геометрии CGAL, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Описание уязвимости	Уязвимость функции SNC_io_parser::read_sloop() компонента Nef_S2/SNC_io_parser.h библиотеки алгоритмов вычислительной геометрии CGAL связана с чтением за допустимыми границами буфера данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Вендор	Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра», ООО «Юбитех»
Наименование ПО	Debian GNU/Linux, Astra Linux Special Edition (запись в едином реестре российских программ №369), Cgal, UBLinux (запись в едином реестре российских программ №6874)
Версия ПО	9 (Debian GNU/Linux) 1.6 «Смоленск» (Astra Linux Special Edition) 8.0 (Debian GNU/Linux) 10 (Debian GNU/Linux) до 5.2.-3 (Cgal) до 21.01 (UBLinux) 1.7 (Astra Linux Special Edition) 4.7 (Astra Linux Special Edition)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Сообщество свободного программного обеспечения Debian GNU/Linux 9 ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369) Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 Сообщество свободного программного обеспечения Debian GNU/Linux 10 ООО «Юбитех» UBLinux до 21.01 (запись в едином реестре российских программ №6874) ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 (запись в едином реестре российских программ №369) ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 ARM (запись в едином реестре российских программ №369)
Тип ошибки	Чтение за границами буфера
Идентификатор типа ошибки	CWE-125
Класс уязвимости	Уязвимость кода
Дата выявления	21.03.2021
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:P/I:P/A:P CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,3)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для Cgal: Использование рекомендаций производителя: https://talosintelligence.com/vulnerability_reports/TALOS-2020-1225 Для Debian: Использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2020-28636 Для Astra Linux: Использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16 Для UBLinux: https://security.ublinux.ru/CVE-2020-28636 Для ОС Astra Linux Special Edition 1.7: использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1221SE17MD Для ОС Astra Linux Special Edition 4.7 для архитектуры ARM: использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0131SE47MD
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Существует в открытом доступе
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://nvd.nist.gov/vuln/detail/CVE-2020-28636 https://security.ublinux.ru/CVE-2020-28636 https://security-tracker.debian.org/tracker/CVE-2020-28636 https://talosintelligence.com/vulnerability_reports/TALOS-2020-1225 https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE162 https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1221SE17MD https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0131SE47MD
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2020-28636
Прочая информация	Данные уточняются

Последние изменения

27.09.2023 Уязвимость средства управления устройствами энергосистемы AcSELerator QuickSet SEL-5030, связанная с включением функций из недостоверной контролируемой области, позволяющая нарушителю выполнить произвольный код
27.09.2023 Уязвимость средства управления устройствами энергосистемы AcSELerator QuickSet SEL-5030, связанная с неполной фильтрацией специальных элементов, позволяющая нарушителю выполнить произвольный код
27.09.2023 Уязвимость функции update_banner_message() инструмента для мониторинга Nagios XI, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации и выполнить произвольный код
27.09.2023 Уязвимость модуля отображения веб-страниц WebKit браузера Safari и операционных систем iOS и iPadOS, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
27.09.2023 Уязвимость ядра операционных систем iOS, watchOS, iPadOS и macOS, позволяющая нарушителю повысить свои привилегии
27.09.2023 Уязвимость компонента Security операционных систем iOS, watchOS, iPadOS и macOS, позволяющая нарушителю обойти проверку цифровой подписи
26.09.2023 Уязвимость средства разработки программного обеспечения Microsoft Visual Studio, связанная с неконтролируемым расходом ресурсов, позволяющая нарушителю вызвать отказ в обслуживании
26.09.2023 Уязвимость модуля RDS ядра Unbreakable Enterprise Kernel (UEK) операционных систем Oracle Linux, позволяющая нарушителю вызвать отказ в обслуживании
26.09.2023 Уязвимость пользовательских вкладок браузера Google Chrome, позволяющая нарушителю подменить пользовательский интерфейс
26.09.2023 Уязвимость компонента Input браузера Google Chrome, позволяющая нарушителю подменить пользовательский интерфейс

Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»