ГлавнаяБаза уязвимостей БДУ → BDU:2017-01458
7.5критическая

BDU:2017-01458 (CVE-2017-5337)

Уязвимость функции read_attribute в библиотеке GnuTLS, связанная с выходом операции за границы буфера в памяти, позволяющая нарушителю оказывать воздействие на целостность и доступность данных
Опубликовано: 2017-06-23
Описание

Уязвимость функции read_attribute в библиотеке GnuTLS связана с переполнением буфера на основе кучи. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, оказывать воздействие на целостность и доступность данных через специально созданный сертификат OpenPGP

Затрагиваемое ПО и версии
OpenSUSE Leap (42.1)Astra Linux Special Edition (1.5 «Смоленск»)OpenSUSE Leap (42.2)GnuTLS (до 3.3.26)GnuTLS (от 3.5 до 3.5.8)Debian GNU/Linux (9)Debian GNU/Linux (8)
Способ устранения

Использование рекомендаций:
http://lists.opensuse.org/opensuse-security-announce/2017-02/msg00005.html

Для GnuTLS:
Обновление программного обеспечения до 3.6.7-2 или более поздней версии

Для Debian:
Обновление программного обеспечения (пакета gnutls28) до 3.3.30-0+deb8u1 или более поздней версии

Для Astra Linux:
Обновление программного обеспечения (пакета gnutls28) до 3.3.30-0+deb8u1 или более поздней версии

Оценка CVSS
Балл7.5 — критическая опасность
Источники и патчи
http://lists.opensuse.org/opensuse-security-announce/2017-02/msg00005.htmlhttp://www.openwall.com/lists/oss-security/2017/01/10/7http://www.openwall.com/lists/oss-security/2017/01/11/4http://www.securityfocus.com/bid/95372http://www.securitytracker.com/id/1037576https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=338https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=346https://gitlab.com/gnutls/gnutls/commit/94fcf1645ea17223237aaf8d19132e004afddc1a
Проверьте безопасность своего сайта и почты → Полная проверка домена