BDU:2022-01641: Уязвимость библиотеки zlib, связанная с выходом операции за границы буфера в памяти, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости Уязвимость библиотеки zlib связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании с помощью отправки специально сформированных данных приложению
Вендор Red Hat Inc., Сообщество свободного программного обеспечения, Canonical Ltd., ООО «РусБИТех-Астра», Fedora Project, ООО «Ред Софт», АО «ИВК», Жан-Лу Гайи, Марк Адлер, ООО «Открытая мобильная платформа», АО "НППКТ", АО «НТЦ ИТ РОСА», Zimbra Inc., АО «Концерн ВНИИНС»
Наименование ПО Red Hat Enterprise Linux, Debian GNU/Linux, Ubuntu, Astra Linux Special Edition (запись в едином реестре российских программ №369), Red Hat Virtualization, JBoss Core Services, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), Fedora, РЕД ОС (запись в едином реестре российских программ №3751), Альт 8 СП (запись в едином реестре российских программ №4305), zlib, ОС Аврора (запись в едином реестре российских программ №1543), ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913), ROSA Virtualization (запись в едином реестре российских программ №5091), Zimbra Collaboration Suite, РОСА ХРОМ (запись в едином реестре российских программ №1607), ОС ОН «Стрелец» (запись в едином реестре российских программ №6177)
Версия ПО 6 (Red Hat Enterprise Linux), 7 (Red Hat Enterprise Linux), 9 (Debian GNU/Linux), 18.04 LTS (Ubuntu), 1.6 «Смоленск» (Astra Linux Special Edition), 4 (Red Hat Virtualization), 8 (Red Hat Enterprise Linux), 14.04 ESM (Ubuntu), 10 (Debian GNU/Linux), - (JBoss Core Services), 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»), 20.04 LTS (Ubuntu), 16.04 ESM (Ubuntu), 11 (Debian GNU/Linux), 35 (Fedora), 21.10 (Ubuntu), 7.3 (РЕД ОС), - (Альт 8 СП), до 1.2.12 (zlib), до 4.0.2.172 (ОС Аврора), 4.7 (Astra Linux Special Edition), до 2.5 (ОСОН ОСнова Оnyx), до 2.6 (ОСОН ОСнова Оnyx), 2.1 (ROSA Virtualization), до 9.0.0 Patch 30 (Zimbra Collaboration Suite), 12.4 (РОСА ХРОМ), до 16.01.2023 (ОС ОН «Стрелец»)
Тип ПО Операционная система, ПО виртуализации/ПО виртуального программно-аппаратного средства, Прикладное ПО информационных систем, Сетевое средство, Сетевое программное средство
Операционные системы и аппаратные платформы
Тип ошибки Выход операции за границы буфера в памяти, Запись за границами буфера
Идентификатор типа ошибки CWE-119, CWE-787
Класс уязвимости Уязвимость кода
Дата выявления 23.03.2022
Базовый вектор уязвимости
  • CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:P/A:C
  • CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:H
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,5) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,2)
Возможные меры по устранению уязвимости
Использование рекомендаций:

Для zlib:
https://github.com/madler/zlib/commit/5c44459c3b28a9bd3283aaceab7c615f8020c531
https://github.com/madler/zlib/compare/v1.2.11...v1.2.12

Для Zimbra Collaboration Suite:
https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories
https://wiki.zimbra.com/wiki/Security_Center

Для РедОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-zlib-cve-2018-25032/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2018-25032

Для Ubuntu:
https://ubuntu.com/security/CVE-2018-25032
https://ubuntu.com/security/notices/USN-5355-1
https://ubuntu.com/security/notices/USN-5355-2

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/NS2D2GFPFGOJUL4WQ3DUAY7HF4VWQ77F/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2018-25032

Для ОС Аврора 3.2.1: https://cve.omprussia.ru/bb13321
Для ОС Аврора 3.2.2: https://cve.omprussia.ru/bb14322
Для ОС Аврора 3.2.3: https://cve.omprussia.ru/bb15323
Для ОС Аврора 4.0.2: https://cve.omprussia.ru/bb16402

Для ОС Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16



Для ОСОН Основа:

Обновление программного обеспечения zlib до версии 1:1.2.11.dfsg-1+deb10u1



Для Astra Linux Special Edition 4.7 (для архитектуры ARM):

https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47



Для ОСОН ОСнова Оnyx:

Обновление программного обеспечения libz-mingw-w64 до версии 1.2.12+dfsg-2



Обновление программного обеспечения mariadb-10.3 до версии 1:10.3.36+repack-0+deb10u2.osnova1



Для ОС Альт 8 СП:
установка обновления из публичного репозитория программного средства

Для системы управления средой виртуализации "ROSA Virtualization":
https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2156

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для операционной системы РОСА ХРОМ: https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2250

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет zlib до 1:1.2.8.dfsg-5+deb9u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Для ОС ОН «Стрелец»:
Обновление программного обеспечения libz-mingw-w64 до версии 1.2.11+dfsg-1+deb9u1
Обновление программного обеспечения zlib до версии 1:1.2.8.dfsg-5+deb9u1
Статус уязвимости Подтверждена производителем
Наличие эксплойта Существует в открытом доступе
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
https://redos.red-soft.ru/support/secure/ https://nvd.nist.gov/vuln/detail/CVE-2018-25032 https://github.com/madler/zlib/compare/v1.2.11...v1.2.12 https://github.com/madler/zlib/commit/5c44459c3b28a9bd3283aaceab7c615f8020c531 https://www.openwall.com/lists/oss-security/2022/03/26/1 https://www.openwall.com/lists/oss-security/2022/03/25/2 https://www.openwall.com/lists/oss-security/2022/03/28/1 https://www.openwall.com/lists/oss-security/2022/03/24/1 https://www.openwall.com/lists/oss-security/2022/03/28/3 https://access.redhat.com/security/cve/CVE-2018-25032 https://ubuntu.com/security/CVE-2018-25032 https://ubuntu.com/security/notices/USN-5355-1 https://ubuntu.com/security/notices/USN-5355-2 https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/NS2D2GFPFGOJUL4WQ3DUAY7HF4VWQ77F/ https://security-tracker.debian.org/tracker/CVE-2018-25032 https://lists.debian.org/debian-lts-announce/2022/04/msg00000.html https://www.debian.org/security/2022/dsa-5111 https://cve.omprussia.ru/bb13321 https://cve.omprussia.ru/bb14322 https://cve.omprussia.ru/bb15323 https://cve.omprussia.ru/bb16402 https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories https://wiki.zimbra.com/wiki/Security_Center https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16 https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.5/ https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47 https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.6/ https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.6/ https://altsp.su/obnovleniya-bezopasnosti/ https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2156 https://altsp.su/obnovleniya-bezopasnosti/ https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2250 https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81 https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются