ГлавнаяБаза уязвимостей БДУ → BDU:2021-00101
10критическая

BDU:2021-00101 (CVE-2019-3689)

Уязвимость функции nsm_drop_privileges (support/nsm/file.c пакета NFS утилит nfs-utils), связанная с неправельным присвоением стандартных разрешений, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность
Опубликовано: 2021-01-14
Описание

Уязвимость функции nsm_drop_privileges (support/nsm/file.c пакета NFS утилит nfs-utils) связана с неправельным присвоением стандартных разрешений. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также обмануть процессы, запущенные с правами root, для создания / перезаписи файлов в любом месте системы

Затрагиваемое ПО и версии
Ubuntu (16.04 LTS)Astra Linux Special Edition (1.5 «Смоленск»)Suse Linux Enterprise Server (12 sp1)Debian GNU/Linux (9)Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)Suse Linux Enterprise Desktop (12 SP4)SUSE Enterprise Storage (4)SUSE Linux Enterprise Server for SAP Applications (12 SP2)SUSE Linux Enterprise Server for SAP Applications (12 SP3)SUSE OpenStack Cloud (7)Suse Linux Enterprise Server (12 SP4)Suse Linux Enterprise Server (12 SP1 LTSS)Suse Linux Enterprise Server (12 SP2 LTSS)Ubuntu (12.04 ESM)Astra Linux Common Edition (2.12 «Орёл»)OpenSUSE Leap (15.0)SUSE Linux Enterprise Module for Basesystem (15)SUSE Linux Enterprise Module for Basesystem (15 SP1)SUSE CaaS Platform (3.0)SUSE Enterprise Storage (5)Suse Linux Enterprise Server (12 SP2-BCL)OpenSUSE Leap (15.1)Suse Linux Enterprise Server (12 SP3-LTSS)Ubuntu (14.04 ESM)SUSE OpenStack Cloud (8)Suse Linux Enterprise Server (12 SP3-BCL)Suse Linux Enterprise Server (12 SP5)SUSE OpenStack Cloud Crowbar (8)Debian GNU/Linux (8)
Способ устранения

Использование рекомендаций производителя:
Для Debian GNU/Linux:
Обновление программного обеспечения (пакета nfs-utils) до 1:1.3.4-2.5+deb10u1 или более поздней версии
https://lists.debian.org/debian-lts-announce/2019/10/msg00026.html

Для Novell Inc.:
https://www.suse.com/security/cve/CVE-2019-3689/
http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00071.html
http://lists.opensuse.org/opensuse-security-announce/2019-11/msg00006.html
https://bugzilla.suse.com/show_bug.cgi?id=1150733

Для Ubuntu:
https://usn.ubuntu.com/4400-1/

Для Astra Linux использование рекомендаций доступных по ссылке:
https://wiki.astralinux.ru/pages/viewpage.action?pageId=117998111
Или обновление программного обеспечения (пакета nfs-utils) до 1:1.3.4-2.5+deb10u1 или более поздней версии
Использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81

Для nfs-utils:
Обновление программного обеспечения до 1:1.3.4-4 или более поздней версии

Для ОС ОН «Стрелец»:
Обновление программного обеспечения nfs-utils до версии 1:1.3.4-2.5+deb10u1

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00071.htmlhttp://lists.opensuse.org/opensuse-security-announce/2019-11/msg00006.htmlhttps://bugzilla.suse.com/show_bug.cgi?id=1150733https://git.linux-nfs.org/?p=steved/nfs-utils.git;a=commitdiff;h=fee2cc29e888f2ced6a76990923aef19d326dc0ehttps://lists.debian.org/debian-lts-announce/2019/10/msg00026.htmlhttps://nvd.nist.gov/vuln/detail/CVE-2019-3689https://security-tracker.debian.org/tracker/CVE-2019-3689https://usn.ubuntu.com/4400-1/
Проверьте безопасность своего сайта и почты → Полная проверка домена