ГлавнаяБаза уязвимостей БДУ → BDU:2019-00216
7.5высокая

BDU:2019-00216 (CVE-2018-7183)

Уязвимость функции decodearr программы мониторинга ntpq реализации протокола синхронизации времени NTP, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2019-01-22
Описание

Уязвимость функции decodearr программы мониторинга ntpq реализации протокола синхронизации времени NTP вызвана переполнением буфера. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код, используя специально созданный массив в ответе на ntpq-запрос

Затрагиваемое ПО и версии
Ubuntu (16.04 LTS)Debian GNU/Linux (9)Ubuntu (17.10)Ubuntu (18.04 LTS)NTP (от 4.2.8p6 до 4.2.8p10 включительно)NTP (от 4.2.8p6 до 4.2.8p11)Astra Linux Special Edition (1.6 «Смоленск»)Ubuntu (12.04 ESM)Ubuntu (14.04 ESM)Debian GNU/Linux (8)Debian GNU/Linux (10)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для Ntp:
Обновление программного обеспечения до 1:4.2.8p14+dfsg-2 или более поздней версии

Для Ubuntu:
https://usn.ubuntu.com/3707-1/
https://usn.ubuntu.com/3707-2/

Для Debian:
https://security-tracker.debian.org/tracker/CVE-2018-7183

Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16

Для ОС ОН «Стрелец»:
Обновление программного обеспечения ntp до версии 1:4.2.8p12+dfsg-4

Оценка CVSS
Балл7.5 — высокая опасность
Источники и патчи
http://support.ntp.org/bin/view/Main/NtpBug3414http://support.ntp.org/bin/view/Main/SecurityNotice#February_2018_ntp_4_2_8p11_NTP_Shttps://nvd.nist.gov/vuln/detail/CVE-2018-7183https://security-tracker.debian.org/tracker/CVE-2018-7183https://usn.ubuntu.com/3707-1/https://usn.ubuntu.com/3707-2/https://wiki.astralinux.ru/astra-linux-se16-bulletin-20201207SE16MDhttps://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16
Проверьте безопасность своего сайта и почты → Полная проверка домена