БДУ - Уязвимости

BDU:2022-01641: Уязвимость библиотеки zlib, связанная с выходом операции за границы буфера в памяти, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости	Уязвимость библиотеки zlib связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании с помощью отправки специально сформированных данных приложению
Вендор	Red Hat Inc., Сообщество свободного программного обеспечения, Canonical Ltd., ООО «РусБИТех-Астра», Fedora Project, ООО «Ред Софт», АО «ИВК», Жан-Лу Гайи, Марк Адлер, ООО «Открытая мобильная платформа», АО "НППКТ", АО «НТЦ ИТ РОСА», Zimbra Inc., АО «Концерн ВНИИНС»
Наименование ПО	Red Hat Enterprise Linux, Debian GNU/Linux, Ubuntu, Astra Linux Special Edition (запись в едином реестре российских программ №369), Red Hat Virtualization, JBoss Core Services, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), Fedora, РЕД ОС (запись в едином реестре российских программ №3751), Альт 8 СП (запись в едином реестре российских программ №4305), zlib, ОС Аврора (запись в едином реестре российских программ №1543), ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913), ROSA Virtualization (запись в едином реестре российских программ №5091), Zimbra Collaboration Suite, РОСА ХРОМ (запись в едином реестре российских программ №1607), ОС ОН «Стрелец» (запись в едином реестре российских программ №6177)
Версия ПО	6 (Red Hat Enterprise Linux) 7 (Red Hat Enterprise Linux) 9 (Debian GNU/Linux) 18.04 LTS (Ubuntu) 1.6 «Смоленск» (Astra Linux Special Edition) 4 (Red Hat Virtualization) 8 (Red Hat Enterprise Linux) 14.04 ESM (Ubuntu) 10 (Debian GNU/Linux) - (JBoss Core Services) 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус») 20.04 LTS (Ubuntu) 16.04 ESM (Ubuntu) 11 (Debian GNU/Linux) 35 (Fedora) 21.10 (Ubuntu) 7.3 (РЕД ОС) - (Альт 8 СП) до 1.2.12 (zlib) до 4.0.2.172 (ОС Аврора) 4.7 (Astra Linux Special Edition) до 2.5 (ОСОН ОСнова Оnyx) до 2.6 (ОСОН ОСнова Оnyx) 2.1 (ROSA Virtualization) до 9.0.0 Patch 30 (Zimbra Collaboration Suite) 12.4 (РОСА ХРОМ) до 16.01.2023 (ОС ОН «Стрелец»)
Тип ПО	Операционная система, ПО виртуализации/ПО виртуального программно-аппаратного средства, Прикладное ПО информационных систем, Сетевое средство, Сетевое программное средство
Операционные системы и аппаратные платформы	Red Hat Inc. Red Hat Enterprise Linux 6 Red Hat Inc. Red Hat Enterprise Linux 7 Сообщество свободного программного обеспечения Debian GNU/Linux 9 Canonical Ltd. Ubuntu 18.04 LTS ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369) Red Hat Inc. Red Hat Enterprise Linux 8 Canonical Ltd. Ubuntu 14.04 ESM Сообщество свободного программного обеспечения Debian GNU/Linux 10 ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград» (запись в едином реестре российских программ №11156) Canonical Ltd. Ubuntu 20.04 LTS Canonical Ltd. Ubuntu 16.04 ESM Сообщество свободного программного обеспечения Debian GNU/Linux 11 Fedora Project Fedora 35 Canonical Ltd. Ubuntu 21.10 ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751) АО «ИВК» Альт 8 СП - (запись в едином реестре российских программ №4305) ООО «Открытая мобильная платформа» ОС Аврора до 4.0.2.172 Aquarius CMP NS220 (запись в едином реестре российских программ №1543) ООО «Открытая мобильная платформа» ОС Аврора до 4.0.2.172 Byterg MVK-2020 (запись в едином реестре российских программ №1543) ООО «Открытая мобильная платформа» ОС Аврора до 4.0.2.172 F+ Life Tab Plus (запись в едином реестре российских программ №1543) ООО «Открытая мобильная платформа» ОС Аврора до 4.0.2.172 Mashtab TrustPhone T1 (запись в едином реестре российских программ №1543) ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 ARM (запись в едином реестре российских программ №369) АО "НППКТ" ОСОН ОСнова Оnyx до 2.5 (запись в едином реестре российских программ №5913) АО "НППКТ" ОСОН ОСнова Оnyx до 2.6 (запись в едином реестре российских программ №5913) АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1 (запись в едином реестре российских программ №5091) АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4 (запись в едином реестре российских программ №1607) АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023 (запись в едином реестре российских программ №6177)
Тип ошибки	Выход операции за границы буфера в памяти, Запись за границами буфера
Идентификатор типа ошибки	CWE-119 CWE-787
Класс уязвимости	Уязвимость кода
Дата выявления	23.03.2022
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:P/A:C CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:H
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,5) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,2)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для zlib: https://github.com/madler/zlib/commit/5c44459c3b28a9bd3283aaceab7c615f8020c531 https://github.com/madler/zlib/compare/v1.2.11...v1.2.12 Для Zimbra Collaboration Suite: https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories https://wiki.zimbra.com/wiki/Security_Center Для РедОС: https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-zlib-cve-2018-25032/ Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2018-25032 Для Ubuntu: https://ubuntu.com/security/CVE-2018-25032 https://ubuntu.com/security/notices/USN-5355-1 https://ubuntu.com/security/notices/USN-5355-2 Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/NS2D2GFPFGOJUL4WQ3DUAY7HF4VWQ77F/ Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2018-25032 Для ОС Аврора 3.2.1: https://cve.omprussia.ru/bb13321 Для ОС Аврора 3.2.2: https://cve.omprussia.ru/bb14322 Для ОС Аврора 3.2.3: https://cve.omprussia.ru/bb15323 Для ОС Аврора 4.0.2: https://cve.omprussia.ru/bb16402 Для ОС Astra Linux: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16 Для ОСОН Основа: Обновление программного обеспечения zlib до версии 1:1.2.11.dfsg-1+deb10u1 Для Astra Linux Special Edition 4.7 (для архитектуры ARM): https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47 Для ОСОН ОСнова Оnyx: Обновление программного обеспечения libz-mingw-w64 до версии 1.2.12+dfsg-2 Обновление программного обеспечения mariadb-10.3 до версии 1:10.3.36+repack-0+deb10u2.osnova1 Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства Для системы управления средой виртуализации "ROSA Virtualization": https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2156 Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства Для операционной системы РОСА ХРОМ: https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2250 Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»: обновить пакет zlib до 1:1.2.8.dfsg-5+deb9u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81 Для ОС ОН «Стрелец»: Обновление программного обеспечения libz-mingw-w64 до версии 1.2.11+dfsg-1+deb9u1 Обновление программного обеспечения zlib до версии 1:1.2.8.dfsg-5+deb9u1
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Существует в открытом доступе
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://redos.red-soft.ru/support/secure/ https://nvd.nist.gov/vuln/detail/CVE-2018-25032 https://github.com/madler/zlib/compare/v1.2.11...v1.2.12 https://github.com/madler/zlib/commit/5c44459c3b28a9bd3283aaceab7c615f8020c531 https://www.openwall.com/lists/oss-security/2022/03/26/1 https://www.openwall.com/lists/oss-security/2022/03/25/2 https://www.openwall.com/lists/oss-security/2022/03/28/1 https://www.openwall.com/lists/oss-security/2022/03/24/1 https://www.openwall.com/lists/oss-security/2022/03/28/3 https://access.redhat.com/security/cve/CVE-2018-25032 https://ubuntu.com/security/CVE-2018-25032 https://ubuntu.com/security/notices/USN-5355-1 https://ubuntu.com/security/notices/USN-5355-2 https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/NS2D2GFPFGOJUL4WQ3DUAY7HF4VWQ77F/ https://security-tracker.debian.org/tracker/CVE-2018-25032 https://lists.debian.org/debian-lts-announce/2022/04/msg00000.html https://www.debian.org/security/2022/dsa-5111 https://cve.omprussia.ru/bb13321 https://cve.omprussia.ru/bb14322 https://cve.omprussia.ru/bb15323 https://cve.omprussia.ru/bb16402 https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories https://wiki.zimbra.com/wiki/Security_Center https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16 https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.5/ https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47 https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.6/ https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.6/ https://altsp.su/obnovleniya-bezopasnosti/ https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2156 https://altsp.su/obnovleniya-bezopasnosti/ https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2250 https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81 https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2018-25032
Прочая информация	Данные уточняются

Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2022-01641: Уязвимость библиотеки zlib, связанная с выходом операции за границы буфера в памяти, позволяющая нарушителю вызвать отказ в обслуживании