| Описание уязвимости | Уязвимость функции tftp_receive_packet библиотеки libcurl связана с переполнением буфера в динамической памяти. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании |
| Вендор | Oracle Corp., ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, Fedora Project, Novell Inc., Дэниел Стенберг, ООО «Ред Софт», АО «Концерн ВНИИНС» |
| Наименование ПО | Enterprise Manager Ops Center, Astra Linux Special Edition (запись в едином реестре российских программ №369), Debian GNU/Linux, Fedora, HTTP Server, OpenSUSE Leap, Libcurl, РЕД ОС (запись в едином реестре российских программ №3751), Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), Oracle Communications Session Border Controller, MySQL Server, Communications Operations Monitor, OSS Support Tools, Hyperion Essbase, MySQL Cluster, ОС ОН «Стрелец» (запись в едином реестре российских программ №6177) |
| Версия ПО | 12.3.3 (Enterprise Manager Ops Center), 1.6 «Смоленск» (Astra Linux Special Edition), 8.0 (Debian GNU/Linux), 9.0 (Debian GNU/Linux), 29 (Fedora), 12.2.1.3.0 (HTTP Server), 15.0 (OpenSUSE Leap), 15.1 (OpenSUSE Leap), 30 (Fedora), 10.0 (Debian GNU/Linux), 12.4.0 (Enterprise Manager Ops Center), 31 (Fedora), от 7.19.4 до 7.65.3 включительно (Libcurl), до 7.2 Муром (РЕД ОС), 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»), 8.3 (Oracle Communications Session Border Controller), до 8.0.18 включительно (MySQL Server), 12.2.1.4.0 (HTTP Server), 3.4.0 (Communications Operations Monitor), 4.0.0 (Communications Operations Monitor), 4.1.0 (Communications Operations Monitor), 4.2.0 (Communications Operations Monitor), 4.3.0 (Communications Operations Monitor), 20.0 (OSS Support Tools), до 5.7.28 включительно (MySQL Server), 11.1.2.4 (Hyperion Essbase), 8.4 (Oracle Communications Session Border Controller), от 7.3.0 до 7.3.30 включительно (MySQL Cluster), от 7.4.0 до 7.4.29 включительно (MySQL Cluster), от 7.5.0 до 7.5.19 включительно (MySQL Cluster), от 7.6.0 до 7.6.15 включительно (MySQL Cluster), от 8.0.0 до 8.0.21 включительно (MySQL Cluster), 1.0 (ОС ОН «Стрелец») |
| Тип ПО | Сетевое программное средство, ПО программно-аппаратного средства, Операционная система, Прикладное ПО информационных систем, СУБД |
| Операционные системы и аппаратные платформы |
|
| Тип ошибки | Копирование буфера без проверки размера входных данных (классическое переполнение буфера), Переполнение буфера в куче |
| Идентификатор типа ошибки | CWE-120, CWE-122 |
| Класс уязвимости | Уязвимость кода |
| Дата выявления | 11.09.2019 |
| Базовый вектор уязвимости |
|
| Уровень опасности уязвимости | Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5) Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8) |
| Возможные меры по устранению уязвимости |
Использование рекомендаций:
Для Libcurl: https://curl.haxx.se/docs/CVE-2019-5482.html Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/6CI4QQ2RSZX4VCFM76SIWGKY6BY7UWIC/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/RGDVKSLY5JUNJRLYRUA6CXGQ2LM63XC3/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/UA7KDM2WPM5CJDDGOEGFV6SSGD2J7RNT/ Для программных продуктов Novell Inc.: https://lists.opensuse.org/opensuse-security-announce/2019-09/msg00048.html https://lists.opensuse.org/opensuse-security-announce/2019-09/msg00055.html Для РЕД ОС: Обновление операционной системы до версии 7.2 Муром Для программных продуктов Oracle Corp.: https://www.oracle.com/security-alerts/cpujan2020.html https://www.oracle.com/security-alerts/cpuapr2020.html https://www.oracle.com/security-alerts/cpuoct2020.html Для Debian: Использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2019-5482 Для Astra Linux: Использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16 https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81 Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie |
| Статус уязвимости | Подтверждена производителем |
| Наличие эксплойта | Данные уточняются |
| Способ эксплуатации |
|
| Способ устранения | Обновление программного обеспечения |
| Информация об устранении | Уязвимость устранена |
| Ссылки на источники |
http://lists.opensuse.org/opensuse-security-announce/2019-09/msg00048.html
http://lists.opensuse.org/opensuse-security-announce/2019-09/msg00055.html
https://curl.haxx.se/docs/CVE-2019-5482.html
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/6CI4QQ2RSZX4VCFM76SIWGKY6BY7UWIC/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/RGDVKSLY5JUNJRLYRUA6CXGQ2LM63XC3/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/UA7KDM2WPM5CJDDGOEGFV6SSGD2J7RNT/
https://nvd.nist.gov/vuln/detail/CVE-2019-5482
https://security.netapp.com/advisory/ntap-20191004-0003/
https://security-tracker.debian.org/tracker/CVE-2019-5482
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16
https://www.ibm.com/blogs/psirt/security-bulletin-ibm-security-guardium-is-affected-by-multiple-vulnerabilities-4/
https://www.oracle.com/security-alerts/cpuapr2020.html
https://www.oracle.com/security-alerts/cpujan2020.html
https://www.oracle.com/security-alerts/cpuoct2020.html
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
|
| Идентификаторы других систем описаний уязвимостей |
|
| Прочая информация | Данные уточняются |