ГлавнаяБаза уязвимостей БДУ → BDU:2020-00553
6.2высокая

BDU:2020-00553 (CVE-2019-18390)

Уязвимость функции vrend_blit_need_swizzle (vrend_renderer.c) библиотеки virglrenderer, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2020-02-11
Описание

Уязвимость функции vrend_blit_need_swizzle (vrend_renderer.c) библиотеки virglrenderer связана с чтением за границами буфера в динамической памяти. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании с помощью команд VIRGL_CCMD_BLIT

Затрагиваемое ПО и версии
Suse Linux Enterprise Desktop (12 SP4)SUSE Linux Enterprise Server for SAP Applications (12 SP2)SUSE Linux Enterprise Server for SAP Applications (12 SP2-BCL)SUSE Linux Enterprise Server for SAP Applications (12 SP2-ESPOS)SUSE Linux Enterprise Server for SAP Applications (12 SP2-LTSS)SUSE Linux Enterprise Server for SAP Applications (12 SP3)SUSE Linux Enterprise Server for SAP Applications (12 SP4)SUSE Linux Enterprise Software Development Kit (12 SP4)SUSE OpenStack Cloud (7)Suse Linux Enterprise Server (12 SP4)Red Hat Enterprise Linux (8.0)SUSE Linux Enterprise Module for Open Buildservice Development Tools (15)SUSE Enterprise Storage (5)SUSE Linux Enterprise Point of Sale (12 SP2-CLIENT)Suse Linux Enterprise Server (12 SP2-BCL)Suse Linux Enterprise Server (12 SP2-ESPOS)SUSE Linux Enterprise Module for Open Buildservice Development Tools (15 SP1)OpenSUSE Leap (15.1)Suse Linux Enterprise Server (12 SP2-LTSS)Suse Linux Enterprise Server (12 SP3-LTSS)SUSE Linux Enterprise Module for Server Applications (15 SP1)SUSE Linux Enterprise Module for Server Applications (15)SUSE OpenStack Cloud (8)Suse Linux Enterprise Server (12 SP3-BCL)Suse Linux Enterprise Server (12 SP5)SUSE Linux Enterprise Server for SAP Applications (12 SP3-BCL)SUSE Linux Enterprise Server for SAP Applications (12 SP3-LTSS)SUSE Linux Enterprise Server for SAP Applications (12 SP5)SUSE Linux Enterprise Software Development Kit (12 SP5)SUSE OpenStack Cloud Crowbar (8)
Способ устранения

Использование рекомендаций:
Для virglrenderer:
https://gitlab.freedesktop.org/virgl/virglrenderer/commit/24f67de7a9088a873844a39be03cee6882260ac9
https://gitlab.freedesktop.org/virgl/virglrenderer/merge_requests/314/diffs?commit_id=d2cdbcf6a8f2317f250fd54f08aa35dde2fa3e30#3cd772559e0d73afa136d6818023cfd0c4c8ecc0_0_151

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2019-18390/
https://lists.opensuse.org/opensuse-security-announce/2020-01/msg00028.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2019-18390
https://bugzilla.redhat.com/show_bug.cgi?id=1765584

Для ОСОН ОСнова Оnyx (версия 2.7):
Обновление программного обеспечения virglrenderer до версии 0.7.0-2+deb10u1

Для ОС Astra Linux Special Edition 4.7 для архитектуры ARM:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0131SE47MD

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОС Astra Linux Special Edition 1.7:
обновить пакет virglrenderer до 0.7.0-2+deb10u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17

Оценка CVSS
Балл6.2 — высокая опасность
Источники и патчи
https://www.suse.com/security/cve/CVE-2019-18390/https://nvd.nist.gov/vuln/detail/CVE-2019-18390https://bugzilla.redhat.com/show_bug.cgi?id=1765584https://gitlab.freedesktop.org/virgl/virglrenderer/commit/24f67de7a9088a873844a39be03cee6882260ac9https://gitlab.freedesktop.org/virgl/virglrenderer/merge_requests/314/diffs?commit_id=d2cdbcf6a8f2317f250fd54f08aa35dde2fa3e30#3cd772559e0d73afa136d6818023cfd0c4c8ecc0_0_151https://gitlab.freedesktop.org/virgl/virglrenderer/commit/24f67de7a9088a873844a39be03cee6882260ac9https://lists.opensuse.org/opensuse-security-announce/2020-01/msg00028.htmlhttps://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.7/
Проверьте безопасность своего сайта и почты → Полная проверка домена