9.3высокая
BDU:2018-01502 (CVE-2018-1000156)
Уязвимость программной Unix-утилиты GNU Patch, связанная с недостаточной проверкой входных данных, позволяющая нарушителю вызвать отказ в обслуживании, получить доступ к конфиденциальным данным или нарушить их целостность
Опубликовано: 2018-12-18
Описание
Уязвимость программной Unix-утилиты GNU Patch связана с поддержкой работы с патчами в устаревшем формате "ed", который допускает выполнение сторонних команд при помощи оператора "!". Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполненить произвольный код
Затрагиваемое ПО и версии
Ubuntu (14.04 LTS)Astra Linux Special Edition (1.5 «Смоленск»)Red Hat Enterprise Linux (5)Red Hat Enterprise Linux (6)Red Hat Enterprise Linux (7)Ubuntu (16.04 LTS)Debian GNU/Linux (9)OpenSUSE Leap (42.3)Ubuntu (17.10)GNU Patch (до 2.7.6)Astra Linux Special Edition (1.6 «Смоленск»)Suse Linux Enterprise Desktop (12 SP3)Suse Linux Enterprise Desktop (12 SP4)SUSE Linux Enterprise Server for SAP Applications (12 SP3)Suse Linux Enterprise Server (12 SP3)Suse Linux Enterprise Server (12 SP4)Suse Linux Enterprise Server (11 SP4)Ubuntu (12.04 ESM)SUSE Linux Enterprise Module for Basesystem (15 SP1)SUSE Linux Enterprise Module for Development Tools (15)SUSE Linux Enterprise Point of Sale (11 SP3)SUSE Linux Enterprise Server for SAP Applications (11 SP3-LTSS)SUSE Linux Enterprise Server for SAP Applications (11 SP4)Suse Linux Enterprise Server (12 SP5)Debian GNU/Linux (8)Suse Linux Enterprise Server (11 SP3-LTSS)Red Hat Enterprise Linux (7.4 Extended Update Support)Red Hat Enterprise Linux (7.2 Advanced Update Support)Red Hat Enterprise Linux (7.2 Telco Extended Update Support)Red Hat Enterprise Linux (7.3 Extended Update Support)
Способ устранения
Использование рекомендаций:
Для GNU Patch:
Обновление программного обеспечения до 2.7.6 или более поздней версии
Для Debian:
https://security-tracker.debian.org/tracker/CVE-2018-1000156
Для Astra Linux:
Обновление программного обеспечения (пакета patch) до 2.7.5-1+deb8u1 или более поздней версии
Или:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20200327SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20200429SE81
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2018-1000156
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2018-1000156/
Для Ubuntu:
https://usn.ubuntu.com/3624-1/
https://usn.ubuntu.com/3624-2/
Для ОС ОН «Стрелец»:
Обновление программного обеспечения patch до версии 2.7.5-1+deb9u2
Оценка CVSS
| Балл | 9.3 — высокая опасность |
Источники и патчи