ГлавнаяБаза уязвимостей БДУ → BDU:2019-03812
8.3высокая

BDU:2019-03812 (CVE-2019-17666)

Уязвимость функции rtl_p2p_noa_ie из drivers/net/wireless/realtek/rtlwifi/ps.c ядра операционной системы Linux, связанная с переполнением буфера в памяти, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Опубликовано: 2019-10-29
Описание

Уязвимость функции rtl_p2p_noa_ie из drivers/net/wireless/realtek/rtlwifi/ps.c ядра операционной системы Linux связана с недостатком механизма проверки размера копируемых данных. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Ubuntu (16.04 LTS)Astra Linux Special Edition (1.5 «Смоленск»)Red Hat Enterprise Linux (5)Debian GNU/Linux (9)Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)Ubuntu (12.04 ESM)Red Hat Enterprise MRG (2.0)Red Hat Enterprise Linux (8)OpenSUSE Leap (15.0)OpenSUSE Leap (15.1)Ubuntu (14.04 ESM)Debian GNU/Linux (8)Debian GNU/Linux (10)Fedora (31)OpenShift Container Platform (4.2)OpenShift Container Platform (4.3)OpenShift Container Platform (4.4)Ubuntu (20.04 LTS)Ubuntu (20.10)OpenShift Container Platform (4.5)OpenShift Container Platform (4.6)Linux (от 4.0 до 4.4.198 включительно)Linux (от 4.5 до 4.9.198 включительно)Linux (от 4.10 до 4.14.151 включительно)Linux (от 4.15 до 4.19.81 включительно)Linux (от 4.20 до 5.3.8 включительно)
Способ устранения

Использование рекомендаций:
Для Linux:
https://lkml.org/lkml/2019/10/16/1226
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.152
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.82
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.4.199
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.199
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.3.9

Для продуктов Ubuntu:
https://usn.ubuntu.com/4183-1/
https://usn.ubuntu.com/4184-1
https://usn.ubuntu.com/4185-1/
https://usn.ubuntu.com/4186-1/
https://usn.ubuntu.com/4186-2/

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TRBP4O6D2SQ2NHCRHTJONGCZLWOIV5MN/

Для Debian:
Обновление программного обеспечения (пакета linux-4.9) до 4.9.210-1~deb8u1 или более поздней версии
https://lists.debian.org/debian-lts-announce/2020/01/msg00013.html
https://lists.debian.org/debian-lts-announce/2020/03/msg00001.html

Для программных продуктов Red Hat:
https://access.redhat.com/errata/RHSA-2020:0328
https://access.redhat.com/errata/RHSA-2020:0339
https://access.redhat.com/errata/RHSA-2020:0543
https://access.redhat.com/errata/RHSA-2020:0661
https://access.redhat.com/errata/RHSA-2020:0740

Для программных продуктов Novell Inc.:
http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00064.html
http://lists.opensuse.org/opensuse-security-announce/2019-11/msg00010.html

Для Astra Linux:
https://wiki.astralinux.ru/pages/viewpage.action?pageId=117998111
https://wiki.astralinux.ru/astra-linux-se15-bulletin-20201201SE15
Обновление программного обеспечения (пакета linux-4.9) до 4.9.210-1~deb8u1 или более поздней версии
Использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16

Оценка CVSS
Балл8.3 — высокая опасность
Источники и патчи
http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00064.htmlhttp://lists.opensuse.org/opensuse-security-announce/2019-11/msg00010.htmlhttps://access.redhat.com/errata/RHSA-2020:0328https://access.redhat.com/errata/RHSA-2020:0339https://access.redhat.com/errata/RHSA-2020:0543https://access.redhat.com/errata/RHSA-2020:0661https://access.redhat.com/errata/RHSA-2020:0740https://arstechnica.com/information-technology/2019/10/unpatched-linux-flaw-may-let-attackers-crash-or-compromise-nearby-devices/
Проверьте безопасность своего сайта и почты → Полная проверка домена