ГлавнаяБаза уязвимостей БДУ → BDU:2021-01905
7.5критическая

BDU:2021-01905 (CVE-2019-20933)

Уязвимость функции authenticate компонента services/httpd/handler.go базы данных временных рядов InfluxDB, связанная с недостатками процедуры аутентификации, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Опубликовано: 2021-04-06
Описание

Уязвимость функции authenticate компонента services/httpd/handler.go базы данных временных рядов InfluxDB связана с отсутствием проверки на наличие значения в параметре. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Debian GNU/Linux (10)InfluxDB (до 1.7.6)ОСОН ОСнова Оnyx (до 2.1)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для InfluxDB:
Обновление программного обеспечения до 1.6.7~rc0-1 или более поздней версии

Для Debian:
Обновление программного обеспечения (пакета influxdb) до 1.1.1+dfsg1-4+deb9u1 или более поздней версии

Для ОСОН Основа:
Обновление программного обеспечения influxdb до версии 1.6.4-1+deb10u1

Для ОС ОН «Стрелец»:
Обновление программного обеспечения influxdb до версии 1.1.1+dfsg1-4+deb9u1

Оценка CVSS
Балл7.5 — критическая опасность
Источники и патчи
https://github.com/influxdata/influxdb/issues/12927https://github.com/influxdata/influxdb/releases/tag/v1.7.6https://nvd.nist.gov/vuln/detail/CVE-2019-20933https://security-tracker.debian.org/tracker/CVE-2019-20933https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.1/https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023
Проверьте безопасность своего сайта и почты → Полная проверка домена