ГлавнаяБаза уязвимостей БДУ → BDU:2020-00855
7.2высокая

BDU:2020-00855 (CVE-2019-18634)

Уязвимость функции stdin getln программы системного администрирования Sudo, позволяющая нарушителю повысить свои привилегии
Опубликовано: 2020-03-04
Описание

Уязвимость функции stdin getln программы системного администрирования Sudo связана с переполнением буфера в стеке. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.5 «Смоленск»)Red Hat Enterprise Linux (6)Red Hat Enterprise Linux (7)Ubuntu (16.04 LTS)SUSE Linux Enterprise (Server 12 SP2)Debian GNU/Linux (9)Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)Ubuntu (12.04 ESM)Red Hat Enterprise Linux (8)Ubuntu (14.04 ESM)Debian GNU/Linux (8)Fedora (31)OpenShift Container Platform (4.2)Ubuntu (19.10)SUSE Linux Enterprise (Server 11 SP4 LTSS)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)OpenShift Container Platform (4.3)SUSE CaaS Platform (2.0)SUSE CaaS Platform (1.0)Sudo (от 1.7.1 до 1.8.26)Fedora (32)Red Hat Enterprise Linux (8.0 Update Services for SAP Solutions)OpenShift Container Platform (4.4)OpenShift Container Platform (4.5)OpenShift Container Platform (4.6)Альт 8 СПОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для Sudo:
https://www.sudo.ws/alerts/pwfeedback.html

Для Debian:
https://www.debian.org/security/2020/dsa-4614

Для Ubuntu:
https://usn.ubuntu.com/4263-2/
https://usn.ubuntu.com/4263-1/

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2019-18634/

Для Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2019-18634

Для Astra Linux:
Обновление программного обеспечения (пакета sudo) до 1.8.19p1-2.1+deb9u2 или более поздней версии

Для Fedora Project:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/I6TKF36KOQUVJNBHSVJFA7BU3CCEYD2F/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/IY6DZ7WMDKU4ZDML6MJLDAPG42B5WVUC/

Для ОС ОН «Стрелец»:
Обновление программного обеспечения sudo до версии 1.8.27-1+deb10u3.strelets2

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОС Astra Linux 1.6 «Смоленск»:
обновить пакет sudo до 1.8.19p1-2.1+deb9u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20200327SE16

Оценка CVSS
Балл7.2 — высокая опасность
Источники и патчи
https://nvd.nist.gov/vuln/detail/CVE-2019-18634https://lists.debian.org/debian-lts-announce/2020/02/msg00002.htmlhttps://usn.ubuntu.com/4263-1/https://usn.ubuntu.com/4263-2/https://www.sudo.ws/alerts/pwfeedback.htmlhttps://www.suse.com/security/cve/CVE-2019-18634/https://access.redhat.com/security/cve/CVE-2019-18634https://wiki.astralinux.ru/astra-linux-se81-bulletin-20200429SE81
Проверьте безопасность своего сайта и почты → Полная проверка домена