ГлавнаяБаза уязвимостей БДУ → BDU:2020-01355
7.3высокая

BDU:2020-01355 (CVE-2019-16239)

Уязвимость функции process_http_response приложения для подключения к виртуальным частным сетям OpenConnect, позволяющая нарушителю получить несанкционированный доступ к информации и оказать воздействие на ее целостность и доступность
Опубликовано: 2020-04-10
Описание

Уязвимость функции process_http_response приложения для подключения к виртуальным частным сетям OpenConnect связана с ошибками переполнения буфера. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к информации и оказать воздействие на ее целостность и доступность

Затрагиваемое ПО и версии
Ubuntu (16.04 LTS)Debian GNU/Linux (9)Ubuntu (18.04 LTS)Suse Linux Enterprise Desktop (12 SP4)SUSE Linux Enterprise Workstation Extension (12 SP4)SUSE Linux Enterprise Module for Open Buildservice Development Tools (15)Fedora (29)OpenSUSE Leap (15.0)SUSE Linux Enterprise Workstation Extension (15)SUSE Linux Enterprise Workstation Extension (15 SP1)SUSE Linux Enterprise Module for Open Buildservice Development Tools (15 SP1)OpenSUSE Leap (15.1)Fedora (30)Debian GNU/Linux (8)Debian GNU/Linux (10)Fedora (31)Ubuntu (19.10)SUSE Linux Enterprise Workstation Extension (12 SP5)OpenConnect (до 8.05)Ubuntu (20.04)
Способ устранения

Использование рекомендаций:
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2019-16239/

Для Ubuntu:
https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-16239.html

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2019/10/msg00003.html

Для OpenConnect:
https://github.com/openconnect/openconnect/commit/875f0a65ab73f4fb581ca870fd3a901bd278f8e8

Для Fedora Project:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/WI7ZENFAWCHF2RU4NHPL2CU4WGZ4BNDJ/

Оценка CVSS
Балл7.3 — высокая опасность
Источники и патчи
https://www.suse.com/security/cve/CVE-2019-16239/https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-16239.htmlhttps://lists.debian.org/debian-lts-announce/2019/10/msg00003.htmlhttps://nvd.nist.gov/vuln/detail/CVE-2019-16239https://github.com/openconnect/openconnect/commit/875f0a65ab73f4fb581ca870fd3a901bd278f8e8https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/WI7ZENFAWCHF2RU4NHPL2CU4WGZ4BNDJ/
Проверьте безопасность своего сайта и почты → Полная проверка домена