БДУ - Print

BDU:2021-06399: Уязвимость открытой реализации протокола OpenLDAP, связанная с освобождением недопустимого указателя или ссылки, позволяющая нарушителю выполнить отказ в обслуживании

Описание уязвимости	Уязвимость открытой реализации протокола OpenLDAP связана с освобождением недопустимого указателя или ссылки. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить отказ в обслуживании с помощью отправки специально сформированного запроса
Вендор	Сообщество свободного программного обеспечения, Apple Inc., ООО «Ред Софт», OpenLDAP, ООО «РусБИТех-Астра», ФССП России, АО "НППКТ"
Наименование ПО	Debian GNU/Linux, Mac OS, РЕД ОС (запись в едином реестре российских программ №3751), OpenLDAP, Astra Linux Special Edition (запись в едином реестре российских программ №369), ОС ТД АИС ФССП России, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО	9.0 (Debian GNU/Linux), 10.0 (Debian GNU/Linux), до Mojave 10.14.6 (Mac OS), до Catalina 10.15.7 (Mac OS), 11.0 (Debian GNU/Linux), до Big Sur 11.4 (Mac OS), 7.3 (РЕД ОС), от 2.4.3 до 2.4.56 (OpenLDAP), 1.7 (Astra Linux Special Edition), 4.7 (Astra Linux Special Edition), ИК6 (ОС ТД АИС ФССП России), до 2.1 (ОСОН ОСнова Оnyx)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Сообщество свободного программного обеспечения Debian GNU/Linux 9.0 Не указана Сообщество свободного программного обеспечения Debian GNU/Linux 10.0 Не указана Apple Inc. Mac OS до Mojave 10.14.6 Не указана Apple Inc. Mac OS до Catalina 10.15.7 Не указана Сообщество свободного программного обеспечения Debian GNU/Linux 11.0 Не указана Apple Inc. Mac OS до Big Sur 11.4 Не указана ООО «Ред Софт» РЕД ОС 7.3 Не указана (запись в едином реестре российских программ №3751) ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 Не указана (запись в едином реестре российских программ №369) ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 Не указана (запись в едином реестре российских программ №369) ФССП России ОС ТД АИС ФССП России ИК6 Не указана
Тип ошибки	Освобождение неверного указателя или ссылки
Идентификатор типа ошибки	CWE-763
Класс уязвимости	Уязвимость кода
Дата выявления	06.02.2021
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:N/A:C CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для OpenLDAP: Обновление программного обеспечения до актуальной версии Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2020-36224 https://www.debian.org/security/2021/dsa-4845 https://lists.debian.org/debian-lts-announce/2021/02/msg00005.html Для продуктов Apple: https://support.apple.com/kb/HT212529 https://support.apple.com/kb/HT212530 https://support.apple.com/kb/HT212531 Для Astra Linux: использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17 использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47 Для ОС ТД АИС ФССП России: https://goslinux.fssp.gov.ru/2726972/ Для ОСОН Основа: Обновление программного обеспечения openldap до версии 2.4.47+dfsg-3+deb10u6
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://redos.red-soft.ru/support/secure/ https://www.cybersecurity-help.cz/vdb/SB2021020601 https://security-tracker.debian.org/tracker/CVE-2020-36224 https://bugs.openldap.org/show_bug.cgi?id=9409 https://git.openldap.org/openldap/openldap/-/commit/554dff1927176579d652f2fe60c90e9abbad4c65 https://git.openldap.org/openldap/openldap/-/commit/c0b61a9486508e5202aa2e0cfb68c9813731b439 https://git.openldap.org/openldap/openldap/-/commit/5a2017d4e61a6ddc4dcb4415028e0d08eb6bca26 https://git.openldap.org/openldap/openldap/-/commit/d169e7958a3e0dc70f59c8374bf8a59833b7bdd8 http://seclists.org/fulldisclosure/2021/May/64 http://seclists.org/fulldisclosure/2021/May/65 http://seclists.org/fulldisclosure/2021/May/70 https://lists.debian.org/debian-lts-announce/2021/02/msg00005.html https://security.netapp.com/advisory/ntap-20210226-0002/ https://support.apple.com/kb/HT212529 https://support.apple.com/kb/HT212530 https://support.apple.com/kb/HT212531 https://www.debian.org/security/2021/dsa-4845 https://nvd.nist.gov/vuln/detail/CVE-2020-36224 https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17 https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47 https://goslinux.fssp.gov.ru/2726972/ https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.1/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2020-36224
Прочая информация	Данные уточняются