4.6средняя
BDU:2019-02099 (CVE-2019-5436)
Уязвимость tftp_receive_packet библиотеки libcurl, связанная с записью за границами буфера, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Опубликовано: 2019-06-18
Описание
Уязвимость tftp_receive_packet библиотеки libcurl связана с переполнением буфера в динамической памяти. Эксплуатация уязвимости позволяет нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Затрагиваемое ПО и версии
Astra Linux Special Edition (1.5 «Смоленск»)Debian GNU/Linux (9)OpenSUSE Leap (42.3)Enterprise Manager Ops Center (12.3.3)Astra Linux Special Edition (1.6 «Смоленск»)SUSE Enterprise Storage (4)SUSE Linux Enterprise Server for SAP Applications (12 SP2)SUSE Linux Enterprise Server for SAP Applications (12 SP2-BCL)SUSE Linux Enterprise Server for SAP Applications (12 SP2-ESPOS)SUSE Linux Enterprise Server for SAP Applications (12 SP2-LTSS)SUSE Linux Enterprise Server for SAP Applications (12 SP3)SUSE Linux Enterprise Server for SAP Applications (12 SP4)SUSE Linux Enterprise Software Development Kit (12 SP3)SUSE Linux Enterprise Software Development Kit (12 SP4)SUSE OpenStack Cloud (7)SUSE Linux Enterprise Module for Open Buildservice Development Tools (15)Suse Linux Enterprise Server (12 SP3)Suse Linux Enterprise Server (12 SP4)Suse Linux Enterprise Server (11 SP4)Fedora (29)Libcurl (от 7.19.4 до 7.64.1 включительно)OpenSUSE Leap (15.0)SUSE Linux Enterprise Module for Basesystem (15)SUSE Linux Enterprise Module for Basesystem (15 SP1)SUSE CaaS Platform (3.0)Suse Linux Enterprise Server (12 SP2-BCL)Suse Linux Enterprise Server (12 SP2-ESPOS)SUSE Linux Enterprise Point of Sale (11 SP3)Suse Linux Enterprise Server (12-LTSS)SUSE Linux Enterprise Server for SAP Applications (12 SP1)
Способ устранения
Использование рекомендаций производителя:
Для libcurl:
https://curl.haxx.se/docs/CVE-2019-5436.html
Для программных продуктов Oracle Corp.:
https://www.oracle.com/technetwork/topics/security/public-vuln-to-advisory-mapping-093627.html
Для программных продуктов Fedora Project:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/SMG3V4VTX2SE3EW3HQTN3DDLQBTORQC2/
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2019-5436/
Для РЕД ОС:
Обновление операционной системы до версии 7.2 Муром
Для Astra Linux:
Обновление программного обеспечения (пакета curl) до 7.52.1-5+deb9u10 или более поздней версии
Для Astra Linux:
Использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
Для ОС ОН «Стрелец»:
Обновление программного обеспечения curl до версии 7.52.1-5+deb9u16
Оценка CVSS
| Балл | 4.6 — средняя опасность |
Источники и патчи