ГлавнаяБаза уязвимостей БДУ → BDU:2019-02881
7.2высокая

BDU:2019-02881 (CVE-2019-12900)

Уязвимость функции BZ2_decompress утилиты для сжатия данных bzip2, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2019-08-16
Описание

Уязвимость функции BZ2_decompress (decompress.c) утилиты для сжатия данных bzip2 связана с записью за границы буфера памяти. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код в целевой системе в результате открытия пользователем специально подготовленного вредоносного архива

Затрагиваемое ПО и версии
Database (11.2.0.4)Database (12.1.0.2)Ubuntu (16.04 LTS)Ubuntu (18.04 LTS)Database (12.2.0.1)Database (18c)Ubuntu (18.10)SUSE Linux Enterprise Server for SAP Applications (12 SP2)SUSE Linux Enterprise Server for SAP Applications (12 SP2-BCL)SUSE Linux Enterprise Server for SAP Applications (12 SP2-ESPOS)SUSE Linux Enterprise Server for SAP Applications (12 SP2-LTSS)SUSE Linux Enterprise Server for SAP Applications (12 SP3)SUSE Linux Enterprise Server for SAP Applications (12 SP4)SUSE Linux Enterprise Software Development Kit (12 SP4)SUSE OpenStack Cloud (7)Suse Linux Enterprise Server (12 SP4)Ubuntu (12.04 ESM)Ubuntu (19.04)Astra Linux Common Edition (2.12 «Орёл»)OpenSUSE Leap (15.0)Suse Linux Enterprise Server (12 SP2-BCL)Suse Linux Enterprise Server (12 SP2-ESPOS)SUSE Linux Enterprise Server for SAP Applications (12 SP1)SUSE Linux Enterprise Server for SAP Applications (12 SP1-LTSS)OpenSUSE Leap (15.1)Database (19c)Suse Linux Enterprise Server (11 SP4-LTSS)Suse Linux Enterprise Server (12 SP1-LTSS)Suse Linux Enterprise Server (12 SP2-LTSS)SUSE Linux Enterprise Server for SAP Applications (11 SP4-LTSS)
Способ устранения

Использование рекомендаций:

Для bzip2:
https://gitlab.com/federicomenaquintero/bzip2/commit/74de1e2e6ffc9d51ef9824db71a8ffee5962cdbc



Для FreeBSD:
https://www.freebsd.org/security/advisories/FreeBSD-SA-19:18.bzip2.asc



Для Ubuntu:

https://usn.ubuntu.com/4038-1/

https://usn.ubuntu.com/4038-2/



Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2019-12900/

Для РЕД ОС:
Обновление операционной системы до версии 7.2

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuoct2020.html

Для Astra Linux:
Обновление программного обеспечения (пакета bzip2) до 1.0.6-9.2~deb10u1 или более поздней версии

Для ОС ОН «Стрелец»:
Обновление программного обеспечения bzip2 до версии 1.0.6-9.2~deb10u1.strelets1

Обновление программного обеспечения python3.9 до версии 3.9.23-1.osnova2u1

Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2025:0925?lang=ru

Оценка CVSS
Балл7.2 — высокая опасность
Источники и патчи
https://nvd.nist.gov/vuln/detail/CVE-2019-12900https://usn.ubuntu.com/4038-1/https://usn.ubuntu.com/4038-2/https://www.freebsd.org/security/advisories/FreeBSD-SA-19:18.bzip2.aschttps://www.cvedetails.com/cve/CVE-2019-12900/https://bugzilla.opensuse.org/show_bug.cgi?id=1139083https://www.suse.com/security/cve/CVE-2019-12900/https://gitlab.com/federicomenaquintero/bzip2/commit/74de1e2e6ffc9d51ef9824db71a8ffee5962cdbc
Проверьте безопасность своего сайта и почты → Полная проверка домена