ГлавнаяБаза уязвимостей БДУ → BDU:2020-03947
9высокая

BDU:2020-03947

Уязвимость реализации функций read_fru_area(), read_fru_area_section(), ipmi_spd_print_fru(), ipmi_get_session_info(), ipmi_get_channel_cipher_suites() и get_lan_param_select() утилиты для управления и настройки устройств с поддержкой IPMI ipmitool, позволяющая нарушителю вызвать отказ в обслуживании или выполнить произвольный код
Опубликовано: 2020-08-19
Описание

Уязвимость реализации множества функций read_fru_area(), read_fru_area_section(), ipmi_spd_print_fru(), ipmi_get_session_info(), ipmi_get_channel_cipher_suites() и get_lan_param_select() утилиты для управления и настройки устройств с поддержкой IPMI ipmitool вызвана переполнением буфера. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании или выполнить произвольный код

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (6)Red Hat Enterprise Linux (7)Astra Linux Special Edition (1.6 «Смоленск»)Red Hat Enterprise Linux (8)OpenSUSE Leap (15.1)Fedora (30)Debian GNU/Linux (8)Fedora (31)Red Hat Enterprise Linux (7.5 Extended Update Support)Red Hat Enterprise Linux (7.6 Extended Update Support)Red Hat Enterprise Linux (7.2 Advanced Update Support)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Red Hat Enterprise Linux (7.4 US for SAP Solutions)Red Hat Enterprise Linux (7.3 Advanced Update Support)Red Hat Enterprise Linux (7.3 Telco Extended Update Support)Red Hat Enterprise Linux (7.3 Update Services for SAP Solutions)Red Hat Enterprise Linux (7.4 Telco Extended Update Support)Red Hat Enterprise Linux (8.0 Update Services for SAP Solutions)Red Hat Enterprise Linux (7.4 Advanced Update Support)ipmitool (до 1.8.19)Альт 8 СПОСОН ОСнова Оnyx (до 2.1)ROSA Virtualization 3.0 (3.0)
Способ устранения

Использование рекомендаций:
Для ipmitool:
https://github.com/ipmitool/ipmitool/commit/e824c23316ae50beb7f7488f2055ac65e8b341f2
https://github.com/ipmitool/ipmitool/security/advisories/GHSA-g659-9qxw-p7cp

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-5208

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2020/02/msg00006.html

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/K2BPW66KDP4H36AGZXLED57A3O2Y6EQW/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/RYYEKUAUTCWICM77HOEGZDVVEUJLP4BP/

Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2020-02/msg00031.html

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16

Для ОСОН Основа:
Обновление программного обеспечения ipmitool до версии 1.8.18-6+deb10u1

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет ipmitool до 1.8.18-3+deb9u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОС Astra Linux 1.6 «Смоленск»:
обновить пакет ipmitool до 1.8.18-3+deb9u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2702

Оценка CVSS
Балл9 — высокая опасность
Источники и патчи
http://lists.opensuse.org/opensuse-security-announce/2020-02/msg00031.htmlhttps://github.com/ipmitool/ipmitool/commit/e824c23316ae50beb7f7488f2055ac65e8b341f2https://github.com/ipmitool/ipmitool/security/advisories/GHSA-g659-9qxw-p7cphttps://lists.debian.org/debian-lts-announce/2020/02/msg00006.htmlhttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/K2BPW66KDP4H36AGZXLED57A3O2Y6EQW/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/RYYEKUAUTCWICM77HOEGZDVVEUJLP4BP/https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.1/
Проверьте безопасность своего сайта и почты → Полная проверка домена