ГлавнаяБаза уязвимостей БДУ → BDU:2020-01339
7.8высокая

BDU:2020-01339 (CVE-2019-12290)

Уязвимость компонента RFC3490 библиотеки Libidn2, позволяющая нарушителю создать вредоносный домен, который соответствует целевому домену
Опубликовано: 2020-04-06
Описание

Уязвимость компонента RFC3490 библиотеки Libidn2 существует из-за недостаточной проверки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, создать вредоносный домен, который соответствует целевому домену

Затрагиваемое ПО и версии
Ubuntu (18.04 LTS)Fedora (29)Ubuntu (19.04)OpenSUSE Leap (15.0)OpenSUSE Leap (15.1)Fedora (30)Fedora (31)Libidn2 (до 2.2.0)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)ОСОН ОСнова Оnyx (до 2.1)
Способ устранения

Использование рекомендаций:
Для GNU libidn2:
https://gitlab.com/libidn/libidn2/commit/241e8f486134793cb0f4a5b0e5817a97883401f5
https://gitlab.com/libidn/libidn2/-/merge_requests/71

Для программных продуктов Novell Inc.:
http://lists.opensuse.org/opensuse-security-announce/2019-12/msg00008.html
http://lists.opensuse.org/opensuse-security-announce/2019-12/msg00009.html

Для Ubuntu:
https://usn.ubuntu.com/4168-1/

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/3UFT76Y7OSGPZV3EBEHD6ISVUM3DLARM/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/KXDKYWFV6N2HHVSE67FFDM7G3FEL2ZNE/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ONG3GJRRJO35COPGVJXXSZLU4J5Y42AT/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/RSI4TI2JTQWQ3YEUX5X36GTVGKO4QKZ5/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/U6ZXL2RDNQRAHCMKWPOMJFKYJ344X4HL/

Для ОСОН Основа:
Обновление программного обеспечения libidn2 до версии 2.0.5-1+deb10u1.osnova1

Для ОС Astra Linux Special Edition 1.7:
обновить пакет libidn2 до 2.0.5-1+deb10u1+ci202308141422+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17

Для Astra Linux Special Edition 4.7:
обновить пакет libidn2 до 2.0.5-1+deb10u1+ci202308141422+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-12290.html?_ga=2.99789142.952304979.1572234529-1618695258.1547637860https://www.cybersecurity-help.cz/vdb/SB2019102227https://gitlab.com/libidn/libidn2/commit/241e8f486134793cb0f4a5b0e5817a97883401f5https://gitlab.com/libidn/libidn2/-/merge_requests/71http://lists.opensuse.org/opensuse-security-announce/2019-12/msg00008.htmlhttp://lists.opensuse.org/opensuse-security-announce/2019-12/msg00009.htmlhttps://usn.ubuntu.com/4168-1/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/3UFT76Y7OSGPZV3EBEHD6ISVUM3DLARM/
Проверьте безопасность своего сайта и почты → Полная проверка домена