ГлавнаяБаза уязвимостей БДУ → BDU:2020-01814
9.3высокая

BDU:2020-01814 (CVE-2017-18266)

Уязвимость функции open_envvar инструмента для настройки использования пользовательских приложений по умолчанию xdg-open, позволяющая нарушителю получить несанкционированный доступ к информации и нарушить ее целостность и доступность
Опубликовано: 2020-04-27
Описание

Уязвимость функции open_envvar инструмента для настройки использования пользовательских приложений по умолчанию xdg-open связана с неверной нейтрализацией особых элементов в выходных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к информации и нарушить ее целостность и доступность

Затрагиваемое ПО и версии
Ubuntu (14.04 LTS)Ubuntu (16.04 LTS)Debian GNU/Linux (9)Ubuntu (17.10)Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)Suse Linux Enterprise Desktop (12 SP3)Suse Linux Enterprise Desktop (12 SP4)SUSE Linux Enterprise Server for SAP Applications (12 SP3)Suse Linux Enterprise Server (12 SP3)Suse Linux Enterprise Server (12 SP4)SUSE Linux Enterprise Module for Basesystem (15)SUSE Linux Enterprise Module for Basesystem (15 SP1)OpenSUSE Leap (15.0)SUSE Linux Enterprise Module for High Performance Computing (15 SP1)Suse Linux Enterprise Server (12 SP5)Debian GNU/Linux (8)Debian GNU/Linux (10)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)xdg-utils (до 1.1.3)
Способ устранения

Использование рекомендаций:
Для xdg-utils:
Обновление программного обеспечения до 1.1.3 или более поздней версии

Для Debian:
Обновление программного обеспечения (пакета xdg-utils) до 1.1.1-1+deb9u1 или более поздней версии

Для Astra Linux:
Обновление программного обеспечения (пакета xdg-utils) до 1.1.1-1+deb9u1 или более поздней версии

Для Ubuntu:
https://usn.ubuntu.com/3650-1/

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2017-18266/

Оценка CVSS
Балл9.3 — высокая опасность
Источники и патчи
https://usn.ubuntu.com/3650-1/https://www.suse.com/security/cve/CVE-2017-18266/https://access.redhat.com/security/cve/CVE-2017-18266https://cgit.freedesktop.org/xdg/xdg-utils/commit/?id=ce802d71c3466d1dbb24f2fe9b6db82a1f899bcbhttps://cgit.freedesktop.org/xdg/xdg-utils/commit/?id=5647afb35e4bcba2060148e1a2a47bc43cc240f2https://bugs.freedesktop.org/show_bug.cgi?id=103807https://nvd.nist.gov/vuln/detail/CVE-2017-18266https://security-tracker.debian.org/tracker/CVE-2017-18266
Проверьте безопасность своего сайта и почты → Полная проверка домена