ГлавнаяБаза уязвимостей БДУ → BDU:2020-02563
5.4средняя

BDU:2020-02563 (CVE-2019-0201)

Уязвимость реализации команды getACL() централизованной службы для поддержки информации о конфигурации, именования, обеспечения распределенной синхронизации и предоставления групповых служб Apache ZooKeeper, позволяющая нарушителю раскрыть некоторые значения хеш-функции
Опубликовано: 2020-06-02
Описание

Уязвимость реализации команды getACL() централизованной службы для поддержки информации о конфигурации, именования, обеспечения распределенной синхронизации и предоставления групповых служб Apache ZooKeeper связана с ошибками обработки разрешений. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, раскрыть некоторые значения хеш-функции

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.5 «Смоленск»)Debian GNU/Linux (9)SUSE OpenStack Cloud (8)Debian GNU/Linux (8)SUSE OpenStack Cloud (Crowbar 8)Jboss Fuse (7)Debian GNU/Linux (10)Jboss Fuse (6.3)JBoss A-MQ (6.3)HPE Helion Openstack (8)SUSE OpenStack Cloud (9)SUSE OpenStack Cloud (Crowbar 9)ZooKeeper (от 1.0.0 до 3.4.13 включительно)ZooKeeper (от 3.5.0-alpha до 3.5.4-beta включительно)Red Hat JBoss Data Virtualization (6.4)Oracle TimesTen In-Memory Database (до 18.1.3.1.0)РЕД ОС (7.3)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для Apache ZooKeeper:
https://issues.apache.org/jira/browse/ZOOKEEPER-1392

Для Debian GNU/Linux:
https://www.debian.org/security/2019/dsa-4461
https://lists.debian.org/debian-lts-announce/2019/05/msg00033.html

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2019-0201/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2019-0201

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuoct2020.html

Для Astra Linux:
Обновление программного обеспечения (пакета zookeeper) до 3.4.9-3+deb9u2 или более поздней версии

Для ОС ОН «Стрелец»:
Обновление программного обеспечения zookeeper до версии 3.4.9-3+deb9u2

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Оценка CVSS
Балл5.4 — средняя опасность
Источники и патчи
https://issues.apache.org/jira/browse/ZOOKEEPER-1392https://www.debian.org/security/2019/dsa-4461https://lists.debian.org/debian-lts-announce/2019/05/msg00033.htmlhttps://www.suse.com/security/cve/CVE-2019-0201/https://access.redhat.com/security/cve/CVE-2019-0201https://www.oracle.com/security-alerts/cpuoct2020.htmlhttps://wiki.astralinux.ru/astra-linux-se15-bulletin-20201201SE15https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023
Проверьте безопасность своего сайта и почты → Полная проверка домена