7.3высокая
BDU:2020-01355 (CVE-2019-16239)
Уязвимость функции process_http_response приложения для подключения к виртуальным частным сетям OpenConnect, позволяющая нарушителю получить несанкционированный доступ к информации и оказать воздействие на ее целостность и доступность
Опубликовано: 2020-04-10
Описание
Уязвимость функции process_http_response приложения для подключения к виртуальным частным сетям OpenConnect связана с ошибками переполнения буфера. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к информации и оказать воздействие на ее целостность и доступность
Затрагиваемое ПО и версии
Ubuntu (16.04 LTS)Debian GNU/Linux (9)Ubuntu (18.04 LTS)Suse Linux Enterprise Desktop (12 SP4)SUSE Linux Enterprise Workstation Extension (12 SP4)SUSE Linux Enterprise Module for Open Buildservice Development Tools (15)Fedora (29)OpenSUSE Leap (15.0)SUSE Linux Enterprise Workstation Extension (15)SUSE Linux Enterprise Workstation Extension (15 SP1)SUSE Linux Enterprise Module for Open Buildservice Development Tools (15 SP1)OpenSUSE Leap (15.1)Fedora (30)Debian GNU/Linux (8)Debian GNU/Linux (10)Fedora (31)Ubuntu (19.10)SUSE Linux Enterprise Workstation Extension (12 SP5)OpenConnect (до 8.05)Ubuntu (20.04)
Способ устранения
Использование рекомендаций:
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2019-16239/
Для Ubuntu:
https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-16239.html
Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2019/10/msg00003.html
Для OpenConnect:
https://github.com/openconnect/openconnect/commit/875f0a65ab73f4fb581ca870fd3a901bd278f8e8
Для Fedora Project:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/WI7ZENFAWCHF2RU4NHPL2CU4WGZ4BNDJ/
Оценка CVSS
| Балл | 7.3 — высокая опасность |
Источники и патчи