ГлавнаяБаза уязвимостей БДУ → BDU:2020-02034
6.8высокая

BDU:2020-02034 (CVE-2020-10531)

Уязвимость функции UnicodeString::doAppend (unistr.cpp) библиотеки International Components for Unicode, связанная с целочисленным переполнением структуры данных, позволяющая нарушителю получить несанкционированный доступ к конфиденциальным данным, вызвать отказ в обслуживании или оказать воздействие на целостность данных
Опубликовано: 2020-05-13
Описание

Уязвимость функции UnicodeString::doAppend (unistr.cpp) библиотеки International Components for Unicode связана с целочисленным переполнением структуры данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к конфиденциальным данным, вызвать отказ в обслуживании или оказать воздействие на целостность данных

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (6)Red Hat Enterprise Linux (7)Ubuntu (16.04 LTS)Red Hat Enterprise Linux (Desktop 6.0)Red Hat Enterprise Linux (Server 6.0)Red Hat Enterprise Linux (Workstation 6.0)Debian GNU/Linux (9)Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)Ubuntu (12.04 ESM)Red Hat Enterprise Linux (8)OpenSUSE Leap (15.1)Fedora (30)Ubuntu (14.04 ESM)Debian GNU/Linux (8)Debian GNU/Linux (10)Fedora (31)Red Hat Software CollectionsUbuntu (19.10)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Google Chrome (до 80.0.3987.122)Red Hat Enterprise Linux (8.0 Update Services for SAP Solutions)International Components for Unicode (до 66.1 включительно)Fedora (33)Red Hat Enterprise Linux (6 Supplementary)Oracle Banking Extensibility Workbench (14.3.0)Oracle Banking Extensibility Workbench (14.4.0)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для icu:
Обновление программного обеспечения до 63.2-3 или более поздней версии

Для Debian:
Обновление программного обеспечения (пакета icu) до 63.1-6+deb10u1 или более поздней версии

Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2020-04/msg00004.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/errata/RHSA-2020:0738

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/6IOHSO6BUKC6I66J5PZOMAGFVJ66ZS57/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/X3B5RWJQD5LA45MYLLR55KZJOJ5NVZGP/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/4OOYAMJVLLCLXDTHW3V5UXNULZBBK4O6/

Для Ubuntu:
https://usn.ubuntu.com/4305-1/

Для Google Chrome:
https://chromereleases.googleblog.com/2020/02/stable-channel-update-for-desktop_24.html
https://chromium.googlesource.com/chromium/deps/icu/+/9f4020916eb1f28f3666f018fdcbe6c9a37f0e08

Для Red Hat:
https://access.redhat.com/security/cve/CVE-2020-10531

Для Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2021.html

Для Astra Linux:
Использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81

Для ОС ОН «Стрелец»:
Обновление программного обеспечения icu до версии 57.1-6+deb9u5

Оценка CVSS
Балл6.8 — высокая опасность
Источники и патчи
https://access.redhat.com/errata/RHSA-2020:0738https://chromereleases.googleblog.com/2020/02/stable-channel-update-for-desktop_24.htmlhttps://chromium.googlesource.com/chromium/deps/icu/+/9f4020916eb1f28f3666f018fdcbe6c9a37f0e08https://github.com/unicode-org/icu/commit/b7d08bc04a4296982fcef8b6b8a354a9e4e7afcahttps://github.com/unicode-org/icu/pull/971https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/4OOYAMJVLLCLXDTHW3V5UXNULZBBK4O6/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/6IOHSO6BUKC6I66J5PZOMAGFVJ66ZS57/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/X3B5RWJQD5LA45MYLLR55KZJOJ5NVZGP/
Проверьте безопасность своего сайта и почты → Полная проверка домена