ГлавнаяБаза уязвимостей БДУ → BDU:2020-03981
7.8высокая

BDU:2020-03981 (CVE-2020-4067)

Уязвимость буфера ответа STUN/TURN веб-сервера Coturn, позволяющая нарушителю получить доступ к конфиденциальным данным
Опубликовано: 2020-08-19
Описание

Уязвимость буфера ответа STUN/TURN веб-сервера Coturn связана с ошибками инициализации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным

Затрагиваемое ПО и версии
Ubuntu (16.04 LTS)Debian GNU/Linux (9)Ubuntu (18.04 LTS)Debian GNU/Linux (8)Debian GNU/Linux (10)Fedora (31)Ubuntu (19.10)Fedora (32)Ubuntu (20.04 LTS)OpenSUSE Leap (15.2)Coturn (до 4.5.1.3)
Способ устранения

Использование рекомендаций:
Для Coturn:
Обновление программного обеспечения до 4.5.1.3 или более поздней версии

Для Debian:
Обновление программного обеспечения (пакета coturn) до 4.5.1.1-1.1+deb10u1 или более поздней версии

Для Ubuntu:
https://ubuntu.com/security/notices/USN-4415-1

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TNJJO77ZLGGFJWNUGP6VDG5HPAC5UDBK/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/5G35UBNSRLL6SYRTODYTMBJ65TLQILUM/

Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2020-07/msg00010.html

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://nvd.nist.gov/vuln/detail/CVE-2020-4067https://security-tracker.debian.org/tracker/CVE-2020-4067https://ubuntu.com/security/notices/USN-4415-1https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TNJJO77ZLGGFJWNUGP6VDG5HPAC5UDBK/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/5G35UBNSRLL6SYRTODYTMBJ65TLQILUM/https://lists.opensuse.org/opensuse-security-announce/2020-07/msg00010.htmlhttps://github.com/coturn/coturn/blob/aab60340b201d55c007bcdc853230f47aa2dfdf1/ChangeLog#L15
Проверьте безопасность своего сайта и почты → Полная проверка домена