ГлавнаяБаза уязвимостей БДУ → BDU:2020-04361
7.8высокая

BDU:2020-04361 (CVE-2020-6097)

Уязвимость функции assert() сервера atftpd, связанная с ошибками освобождения ресурсов, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2020-09-22
Описание

Уязвимость функции assert() сервера atftpd связана с ошибками освобождения ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании с помощью специально сформированной последовательности запросов RRQ-Multicast

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)atftpd (0.7.git20120829-3.1+b1)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)ОСОН ОСнова Оnyx (до 2.1)
Способ устранения

Использование рекомендаций:
Для atftpd:
https://sourceforge.net/p/atftp/code/merge-requests/3/
https://sourceforge.net/u/peterkaestle/atftp/ci/b39751cd542750e4a364c97cd7d5eb2758a2f998/

Для Astra Linux:
использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16

Для ОСОН Основа:
Обновление программного обеспечения atftp до версии 0.7.git20120829-3.2~deb10u1

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет atftp до 0.7.git20120829-3.1~deb9u3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://www.cybersecurity-help.cz/vdb/SB2020082718https://talosintelligence.com/vulnerability_reports/TALOS-2020-1029https://nvd.nist.gov/vuln/detail/CVE-2020-6097https://sourceforge.net/p/atftp/code/merge-requests/3/https://sourceforge.net/u/peterkaestle/atftp/ci/b39751cd542750e4a364c97cd7d5eb2758a2f998/https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16
Проверьте безопасность своего сайта и почты → Полная проверка домена