ГлавнаяБаза уязвимостей БДУ → BDU:2020-02755
8.8высокая

BDU:2020-02755 (CVE-2019-12855)

Уязвимость функции words.protocols.jabber.xmlstream сетевого фреймворка Twisted, позволяющая нарушителю реализовать атаку типа «человек посередине»
Опубликовано: 2020-06-10
Описание

Уязвимость функции words.protocols.jabber.xmlstream сетевого фреймворка Twisted связана с ошибками подтверждения подлинности сертификата. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, реализовать атаку типа «человек посередине»

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Ubuntu (16.04 LTS)Ubuntu (18.04 LTS)SUSE Enterprise Storage (4)SUSE OpenStack Cloud (7)SUSE Linux Enterprise Module for Web Scripting (12)SUSE Linux Enterprise Module for Open Buildservice Development Tools (15)OpenSUSE Leap (15.0)SUSE Enterprise Storage (5)SUSE Linux Enterprise Build System Kit (12 SP4)SUSE Linux Enterprise Module for Open Buildservice Development Tools (15 SP1)OpenSUSE Leap (15.1)Twisted (до 19.2.1)Ubuntu (14.04 ESM)SUSE OpenStack Cloud (8)SUSE OpenStack Cloud Crowbar (8)HPE Helion Openstack (8)Ubuntu (19.10)SUSE OpenStack Cloud (9)SUSE OpenStack Cloud Crowbar (9)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)ОСОН ОСнова Оnyx (до 2.4.2)
Способ устранения

Использование рекомендаций:
Для сетевого фреймворка Twisted:
https://twistedmatrix.com/trac/ticket/9561

Для Red Hat Enterprise Linux:
https://access.redhat.com/security/cve/cve-2019-12855

Для Ubuntu:
https://usn.ubuntu.com/4308-1/
https://usn.ubuntu.com/4308-2/

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2019-12855/

Для ОСОН Основа:
Обновление программного обеспечения twisted до версии 20.3.0-7

Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17

Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47

Оценка CVSS
Балл8.8 — высокая опасность
Источники и патчи
https://access.redhat.com/security/cve/cve-2019-12855https://nvd.nist.gov/vuln/detail/CVE-2019-12855https://twistedmatrix.com/trac/ticket/9561https://usn.ubuntu.com/4308-1/https://usn.ubuntu.com/4308-2/https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.4.2/https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47
Проверьте безопасность своего сайта и почты → Полная проверка домена