БДУ - Print

BDU:2020-00845: Уязвимость функции L2CAP_GET_CONF_OPT ядра операционных систем Linux, связанная с раскрытием информации, позволяющая нарушителю получить доступ к конфиденциальным данным

Описание уязвимости	Уязвимость функции L2CAP_GET_CONF_OPT ядра операционных систем Linux связана с переполнением буфера в куче. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить доступ к конфиденциальным данным
Вендор	Canonical Ltd., Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра», Novell Inc.
Наименование ПО	Ubuntu, Debian GNU/Linux, Astra Linux Special Edition (запись в едином реестре российских программ №369), SUSE Linux Enterprise, Astra Linux Common Edition (запись в едином реестре российских программ №4433), Linux
Версия ПО	14.04 (Ubuntu), 16.04 (Ubuntu), 9 (Debian GNU/Linux), 18.10 (Ubuntu), 1.6 «Смоленск» (Astra Linux Special Edition), 8.0 (Debian GNU/Linux), Server 11 SP3 LTSS (SUSE Linux Enterprise), Server for SAP Applications 11 SP3 (SUSE Linux Enterprise), Server for SAP Applications 12 GA (SUSE Linux Enterprise), 18.04 (Ubuntu), 2.12 «Орёл» (Astra Linux Common Edition), 10 (Debian GNU/Linux), 11 SP4 (SUSE Linux Enterprise), до 5.1 включительно (Linux)
Тип ПО	Операционная система
Операционные системы и аппаратные платформы	Canonical Ltd. Ubuntu 14.04 Не указана Canonical Ltd. Ubuntu 16.04 Не указана Canonical Ltd. Ubuntu 18.10 Не указана Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 Не указана Novell Inc. SUSE Linux Enterprise Server 11 SP3 LTSS Не указана Novell Inc. SUSE Linux Enterprise Server for SAP Applications 11 SP3 Не указана Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 GA Не указана Canonical Ltd. Ubuntu 18.04 Не указана ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл» Не указана (запись в едином реестре российских программ №4433) Novell Inc. SUSE Linux Enterprise 11 SP4 Не указана Сообщество свободного программного обеспечения Linux до 5.1 включительно Не указана
Тип ошибки	Раскрытие информации
Идентификатор типа ошибки	CWE-200
Класс уязвимости	Уязвимость кода
Дата выявления	11.04.2019
Базовый вектор уязвимости	CVSS 2.0: AV:A/AC:L/Au:N/C:P/I:N/A:N CVSS 3.0: Вектор не задан
Уровень опасности уязвимости	Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 3,3)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для Linux: https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=af3d5d1c87664a4f150fcf3534c6567cb19909b0 Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2019-3459/ Для Debian: https://lists.debian.org/debian-lts-announce/2019/05/msg00002.html Для Ubuntu: https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-3459.html Для Astra Linux: Обновление программного обеспечения (пакета linux-4.9) до 4.9.168-1~deb8u1 или более поздней версии https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Существует в открытом доступе
Способ эксплуатации	Несанкционированный сбор информации
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://bugzilla.novell.com/show_bug.cgi?id=1120758 https://git.kernel.org/linus/7c9cbd0b5e38a1672fcd137894ace3b042dfbf69 https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=af3d5d1c87664a4f150fcf3534c6567cb19909b0 https://lists.debian.org/debian-lts-announce/2019/05/msg00002.html https://lore.kernel.org/linux-bluetooth/20190110062833.GA15047@kroah.com/ https://marc.info/?l=oss-security&m=154721580222522&w=2 https://nvd.nist.gov/vuln/detail/CVE-2019-3459 https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-3459.html https://security-tracker.debian.org/tracker/CVE-2019-3459 https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16 https://www.suse.com/security/cve/CVE-2019-3459/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2019-3459
Прочая информация	Данные уточняются