ГлавнаяБаза уязвимостей БДУ → BDU:2020-01531
7.1высокая

BDU:2020-01531 (CVE-2019-1010305)

Уязвимость функции chmd_read_headers () библиотеки Libmspack, позволяющая нарушителю раскрыть защищаемую информацию
Опубликовано: 2020-04-16
Описание

Уязвимость функции chmd_read_headers () (libmspack/mspack/chmd.c) библиотеки Libmspack вызвана выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, раскрыть защищаемую информацию с помощью специально созданного chm-файла

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Ubuntu (16.04 LTS)Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)Fedora (29)Ubuntu (12.04 ESM)Red Hat Enterprise Linux (8)Fedora (30)Ubuntu (14.04 ESM)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Libmspack (0.9.1 alpha)
Способ устранения

Использование рекомендаций:
Для Libmspack:
https://github.com/kyz/libmspack/commit/2f084136cfe0d05e5bf5703f3e83c6d955234b4d

Для Ubuntu:
https://usn.ubuntu.com/4066-1/
https://usn.ubuntu.com/4066-2/

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/IXWNEY4CJBLPRKV6LG7FQUPD6WVZYBTB/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/S2QJTUAGP22YY7453MHGTFN4YQE5HJBR/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2019-1010305

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет libmspack до 0.5-1+deb9u4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Оценка CVSS
Балл7.1 — высокая опасность
Источники и патчи
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/IXWNEY4CJBLPRKV6LG7FQUPD6WVZYBTB/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/S2QJTUAGP22YY7453MHGTFN4YQE5HJBR/https://usn.ubuntu.com/4066-1/https://usn.ubuntu.com/4066-2/https://github.com/kyz/libmspack/commit/2f084136cfe0d05e5bf5703f3e83c6d955234b4dhttps://github.com/kyz/libmspack/issues/27https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-1010305.html?_ga=2.19026872.1237142402.1563167419-1618695258.1547637860https://access.redhat.com/security/cve/cve-2019-1010305
Проверьте безопасность своего сайта и почты → Полная проверка домена