ГлавнаяБаза уязвимостей БДУ → BDU:2020-00233
10критическая

BDU:2020-00233 (CVE-2019-10220)

Уязвимость SMB-клиента ядра операционной системы Linux, позволяющая нарушителю манипулировать файлами в каталоге клиента
Опубликовано: 2020-01-23
Описание

Уязвимость SMB-клиента ядра операционной системы Linux существует из-за неверного ограничения имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, манипулировать файлами в каталоге клиента

Затрагиваемое ПО и версии
Ubuntu (18.04 LTS)Ubuntu (19.04)Debian GNU/Linux (8)ОС Аврора (до 4.0.2.209 включительно)Linux (от 4.20 до 5.3.7 включительно)Linux (от 4.0 до 4.4.207 включительно)Linux (от 4.5 до 4.9.207 включительно)Linux (от 4.10 до 4.14.161 включительно)Linux (от 4.15 до 4.19.92 включительно)
Способ устранения

Использование рекомендаций:
Для Linux:
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/fs?id=4f11918ab93bc113ec0831ed2ab7b88847d44dd7
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.162
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.93
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.4.208
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.208
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.3.8

Для Ubuntu:
https://usn.ubuntu.com/4226-1/

Для ОС Аврора:
https://cve.omprussia.ru/bb21
https://cve.omprussia.ru/bb22402

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2020/01/msg00013.html

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://bugzilla.redhat.com/show_bug.cgi?id=1741727https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-10220https://bugzilla.samba.org/show_bug.cgi?id=14072https://bugzilla.suse.com/show_bug.cgi?id=1144903https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10220https://cve.omprussia.ru/bb21https://cve.omprussia.ru/bb22402https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/fs?id=4f11918ab93bc113ec0831ed2ab7b88847d44dd7
Проверьте безопасность своего сайта и почты → Полная проверка домена