4.6высокая
BDU:2019-03793 (CVE-2019-5436)
Уязвимость функции tftp_receive_packet() библиотеки libcurl, связанная с выходом операции за границы буфера в памяти, позволяющая нарушителю вызвать отказ в обслуживании или выполнить произвольный код
Опубликовано: 2019-10-29
Описание
Уязвимость функции tftp_receive_packet() библиотеки libcurl связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании или выполнить произвольный код
Затрагиваемое ПО и версии
Astra Linux Special Edition (1.5 «Смоленск»)OpenSUSE Leap (42.3)Enterprise Manager Ops Center (12.3.3)Suse Linux Enterprise Desktop (12 SP3)Suse Linux Enterprise Desktop (12 SP4)SUSE Enterprise Storage (4)SUSE Linux Enterprise Server for SAP Applications (12 SP2)SUSE Linux Enterprise Server for SAP Applications (12 SP2-BCL)SUSE Linux Enterprise Server for SAP Applications (12 SP2-ESPOS)SUSE Linux Enterprise Server for SAP Applications (12 SP2-LTSS)SUSE Linux Enterprise Server for SAP Applications (12 SP3)SUSE Linux Enterprise Server for SAP Applications (12 SP4)SUSE Linux Enterprise Software Development Kit (12 SP3)SUSE Linux Enterprise Software Development Kit (12 SP4)SUSE OpenStack Cloud (7)SUSE Linux Enterprise Module for Open Buildservice Development Tools (15)Suse Linux Enterprise Server (12 SP3)Suse Linux Enterprise Server (12 SP4)Suse Linux Enterprise Server (11 SP4)Fedora (29)Libcurl (от 7.19.4 до 7.64.1 включительно)OpenSUSE Leap (15.0)SUSE Linux Enterprise Module for Basesystem (15)SUSE Linux Enterprise Module for Basesystem (15 SP1)SUSE CaaS Platform (3.0)SUSE Linux Enterprise Point of Sale (12 SP2-CLIENT)Suse Linux Enterprise Server (12 SP2-BCL)Suse Linux Enterprise Server (12 SP2-ESPOS)SUSE Linux Enterprise Point of Sale (11 SP3)Suse Linux Enterprise Server (12-LTSS)
Способ устранения
Использование рекомендаций производителя:
Для libcurl:
https://curl.haxx.se/docs/CVE-2019-5436.html
Для программных продуктов Oracle Corp.:
https://www.oracle.com/technetwork/topics/security/public-vuln-to-advisory-mapping-093627.html
Для программных продуктов Fedora Project:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/SMG3V4VTX2SE3EW3HQTN3DDLQBTORQC2/
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2019-5436/
Для Astra Linux:
Обновление программного обеспечения (пакета curl) до 7.52.1-5+deb9u10 или более поздней версии
Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
Для ОС ОН «Стрелец»:
Обновление программного обеспечения curl до версии 7.52.1-5+deb9u16
Оценка CVSS
| Балл | 4.6 — высокая опасность |
Источники и патчи