ГлавнаяБаза уязвимостей БДУ → BDU:2020-01913
7.5критическая

BDU:2020-01913 (CVE-2020-10595)

Уязвимость функции pamk5_prompter_krb5 (prompting.c) библиотеки libpam-krb5, связанная с недостатком механизма проверки размера копируемых данных, позволяющая нарушителю получить несанкционированный доступ к конфиденциальным данным, вызвать отказ в обслуживании или оказать воздействие на целостность данных
Опубликовано: 2020-05-07
Описание

Уязвимость функции pamk5_prompter_krb5 (prompting.c) библиотеки libpam-krb5 связана с недостатком механизма проверки размера копируемых данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к конфиденциальным данным, вызвать отказ в обслуживании или оказать воздействие на целостность данных

Затрагиваемое ПО и версии
Ubuntu (16.04 LTS)Debian GNU/Linux (9)Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)Ubuntu (12.04 ESM)Ubuntu (14.04 ESM)Debian GNU/Linux (8)Debian GNU/Linux (10)Ubuntu (19.10)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)libpam-krb5 (до 4.9)ОСОН ОСнова Оnyx (до 2.5)
Способ устранения

Использование рекомендаций:
Для libpam-krb5:
Обновление программного обеспечения до 4.9 или более поздней версии

Для Debian:
Обновление программного обеспечения (пакета libpam-krb5) до 4.8-2+deb10u1 или более поздней версии

Для Ubuntu:
https://people.canonical.com/~ubuntu-security/cve/2020/CVE-2020-10595.html

Для Astra Linux:
Обновление программного обеспечения (пакета libpam-krb5) до 4.8-2+deb10u1 или более поздней версии
Использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81

Для ОСОН ОСнова Оnyx:Обновление программного обеспечения libpam-krb5 до версии 4.11-1

Оценка CVSS
Балл7.5 — критическая опасность
Источники и патчи
http://www.openwall.com/lists/oss-security/2020/03/31/1https://github.com/rra/pam-krb5/commit/e7879e27a37119fad4faf133a9f70bdcdc75d760https://nvd.nist.gov/vuln/detail/CVE-2020-10595https://people.canonical.com/~ubuntu-security/cve/2020/CVE-2020-10595.htmlhttps://security-tracker.debian.org/tracker/CVE-2020-10595https://usn.ubuntu.com/4314-1/https://wiki.astralinux.ru/astra-linux-se16-bulletin-20201207SE16MDhttps://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16
Проверьте безопасность своего сайта и почты → Полная проверка домена