ГлавнаяБаза уязвимостей БДУ → BDU:2017-02383
6.8высокая

BDU:2017-02383 (CVE-2016-9842)

Уязвимость функции inflateMark библиотеки zlib, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
Опубликовано: 2017-11-09
Описание

Уязвимость функции inflateMark (inflate.c) библиотеки zlib вызвана ошибкой обработки отрицательных чисел. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать неопределённое поведение программы, что может привести к нарушению конфиденциальности, целостности и доступности защищаемой информации

Затрагиваемое ПО и версии
openSUSE (13.2)zlib (1.2.8)OpenSUSE Leap (42.2)IBM Vios (2.2.0.0)IBM Vios (2.2.1.0)IBM Vios (2.2.1.1)IBM Vios (2.2.1.3)IBM Vios (2.2.1 4)IBM Vios (2.2.1.8)IBM Vios (2.2.1.9)IBM Vios (2.2.2.0)IBM Vios (2.2.2.4)IBM Vios (2.2.2.5)IBM Vios (2.2.2.6)IBM Vios (2.2.3.0)IBM Vios (2.2.3.2)IBM Vios (2.2.3.3)IBM Vios (2.2.3.4)IBM Vios (2.2.3.50)IBM Vios (2.2.4.0)IBM Java (SDK 8 SR 4 FP 2)IBM Java (SDK 7R1 SR 4 FP 1)IBM Java (SDK 7 SR 10 FP 1)IBM Java (SDK 6R1 SR 8 FP 7)IBM Java (SDK 6R1 SR 8 FP 5)IBM Java (SDK 6R1 SR 8 FP 30)IBM Java (SDK 6R1 SR 8 FP 26)IBM Java (SDK 6R1 SR 8 FP 25)IBM Java (SDK 6R1 SR 8 FP 21)IBM Java (SDK 6R1 SR 8 FP 15)
Способ устранения

Использование рекомендаций:
https://github.com/madler/zlib/commit/e54e1299404101a5a9d0cf5e45512b543967f958

Для Huawei Mate 9 Pro:
Обновление программного обеспечения до версии EMUI9.1.0 и выше

Для Ubuntu:
https://ubuntu.com/security/notices/USN-4292-1
https://ubuntu.com/security/notices/USN-4246-1

Для продуктов Oracle:
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpuoct2017.html
https://www.oracle.com/security-alerts/cpuoct2018.html

Для продуктов Apple:
https://support.apple.com/ru-ru/HT208144
https://support.apple.com/ru-ru/HT208115
https://support.apple.com/ru-ru/HT208113
https://support.apple.com/ru-ru/HT208112

Для Debian:
https://lists.debian.org/debian-lts-announce/2019/03/msg00027.html
https://lists.debian.org/debian-lts-announce/2020/01/msg00030.html

Для продуктов Novell Inc.:
https://lists.opensuse.org/archives/list/updates@lists.opensuse.org/message/MRDJW3XPN3FW5WF3DYT3WFOMUPP6KZBF/
https://lists.opensuse.org/archives/list/updates@lists.opensuse.org/message/OMSIGJVQEP2NTF5TWWHTMFKCQAJECWL4/
https://lists.opensuse.org/archives/list/updates@lists.opensuse.org/message/BZLCLEULOCMWPTCCKHV4XUTP4TXOHF66/

Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2016-9842

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения rsync до версии 3.2.6-1

Оценка CVSS
Балл6.8 — высокая опасность
Источники и патчи
http://lists.opensuse.org/opensuse-updates/2016-12/msg00127.htmlhttp://lists.opensuse.org/opensuse-updates/2017-01/msg00050.htmlhttp://lists.opensuse.org/opensuse-updates/2017-01/msg00053.htmlhttp://www.openwall.com/lists/oss-security/2016/12/05/21http://www.securityfocus.com/bid/95131http://www.securitytracker.com/id/1039427https://bugzilla.redhat.com/show_bug.cgi?id=1402348https://github.com/madler/zlib/commit/e54e1299404101a5a9d0cf5e45512b543967f958
Проверьте безопасность своего сайта и почты → Полная проверка домена