Описание
Уязвимость функции inflateMark (inflate.c) библиотеки zlib вызвана ошибкой обработки отрицательных чисел. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать неопределённое поведение программы, что может привести к нарушению конфиденциальности, целостности и доступности защищаемой информации
Вендор
Novell Inc.
Жан-Лу Гайи, Марк Адлер
IBM Corp.
Red Hat Inc.
Canonical Ltd.
Apple Inc.
Oracle Corp.
Сообщество свободного программного обеспечения
Huawei Technologies Co., Ltd.
АО "НППКТ"
Наименование ПО
openSUSE
zlib
OpenSUSE Leap
IBM Vios
IBM Java
Red Hat Enterprise Linux
IBM i
IBM Aix
Ubuntu
MacOS
Database Server
Debian GNU/Linux
Huawei Mate 9 Pro
iOS
Java SE
Java SE Embedded
MySQL Server
watchOS
tvOS
ОСОН ОСнова Оnyx
Версия ПО
13.2 (openSUSE)
1.2.8 (zlib)
42.2 (OpenSUSE Leap)
2.2.0.0 (IBM Vios)
2.2.1.0 (IBM Vios)
2.2.1.1 (IBM Vios)
2.2.1.3 (IBM Vios)
2.2.1 4 (IBM Vios)
2.2.1.8 (IBM Vios)
2.2.1.9 (IBM Vios)
2.2.2.0 (IBM Vios)
2.2.2.4 (IBM Vios)
2.2.2.5 (IBM Vios)
2.2.2.6 (IBM Vios)
2.2.3.0 (IBM Vios)
2.2.3.2 (IBM Vios)
2.2.3.3 (IBM Vios)
2.2.3.4 (IBM Vios)
2.2.3.50 (IBM Vios)
2.2.4.0 (IBM Vios)
SDK 8 SR 4 FP 2 (IBM Java)
SDK 7R1 SR 4 FP 1 (IBM Java)
SDK 7 SR 10 FP 1 (IBM Java)
SDK 6R1 SR 8 FP 7 (IBM Java)
SDK 6R1 SR 8 FP 5 (IBM Java)
SDK 6R1 SR 8 FP 30 (IBM Java)
SDK 6R1 SR 8 FP 26 (IBM Java)
SDK 6R1 SR 8 FP 25 (IBM Java)
SDK 6R1 SR 8 FP 21 (IBM Java)
SDK 6R1 SR 8 FP 15 (IBM Java)
SDK 6 SR 16 FP 7 (IBM Java)
SDK 6 SR 16 FP 5 (IBM Java)
SDK 6 SR 16 FP 41 (IBM Java)
SDK 6 SR 16 FP 30 (IBM Java)
SDK 6 SR 16 FP 26 (IBM Java)
SDK 6 SR 16 FP 25 (IBM Java)
SDK 6 SR 16 FP 22 (IBM Java)
SDK 6 SR 16 FP 15 (IBM Java)
42.1 (OpenSUSE Leap)
Workstation Supplementary 7 (Red Hat Enterprise Linux)
Workstation Supplementary 6 (Red Hat Enterprise Linux)
Server Supplementary 7 (Red Hat Enterprise Linux)
Server Supplementary 6 (Red Hat Enterprise Linux)
HPC Node Supplementary 6 (Red Hat Enterprise Linux)
Desktop Supplementary 6 (Red Hat Enterprise Linux)
ComputeNode Supplementary 7 (Red Hat Enterprise Linux)
6.1 (IBM i)
7.1 (IBM i)
7.2 (IBM i)
7.3 (IBM i)
5.3 (IBM Aix)
6.1 (IBM Aix)
7.1 (IBM Aix)
7.2 (IBM Aix)
18.04 LTS (Ubuntu)
до 10.13 (MacOS)
18c (Database Server)
8 (Debian GNU/Linux)
EMUI5.0 (Huawei Mate 9 Pro)
до 11.0 (iOS)
16.04 ESM (Ubuntu)
6u161 (Java SE)
7u151 (Java SE)
8u144 (Java SE)
8u144 (Java SE Embedded)
до 5.5.61 включительно (MySQL Server)
от 5.6.0 до 5.6.41 включительно (MySQL Server)
от 5.7.0 до 5.7.23 включительно (MySQL Server)
от 8.0.0 до 8.0.12 включительно (MySQL Server)
до 4 (watchOS)
до 11 (tvOS)
до 2.6 (ОСОН ОСнова Оnyx)
Тип ПО
Операционная система
Прикладное ПО информационных систем
СУБД
Микропрограммный код
ПО виртуализации/ПО виртуального программно-аппаратного средства
Операционные системы и аппаратные платформы
Novell Inc. openSUSE 13.2
Novell Inc. OpenSUSE Leap 42.2
IBM Corp. IBM Vios 2.2.0.0
IBM Corp. IBM Vios 2.2.1.0
IBM Corp. IBM Vios 2.2.1.1
IBM Corp. IBM Vios 2.2.1.3
IBM Corp. IBM Vios 2.2.1 4
IBM Corp. IBM Vios 2.2.1.8
IBM Corp. IBM Vios 2.2.1.9
IBM Corp. IBM Vios 2.2.2.0
IBM Corp. IBM Vios 2.2.2.4
IBM Corp. IBM Vios 2.2.2.5
IBM Corp. IBM Vios 2.2.2.6
IBM Corp. IBM Vios 2.2.3.0
IBM Corp. IBM Vios 2.2.3.2
IBM Corp. IBM Vios 2.2.3.3
IBM Corp. IBM Vios 2.2.3.4
IBM Corp. IBM Vios 2.2.3.50
IBM Corp. IBM Vios 2.2.4.0
IBM Corp. IBM Java SDK 8 SR 4 FP 2
IBM Corp. IBM Java SDK 7R1 SR 4 FP 1
IBM Corp. IBM Java SDK 7 SR 10 FP 1
IBM Corp. IBM Java SDK 6R1 SR 8 FP 7
IBM Corp. IBM Java SDK 6R1 SR 8 FP 5
IBM Corp. IBM Java SDK 6R1 SR 8 FP 30
IBM Corp. IBM Java SDK 6R1 SR 8 FP 26
IBM Corp. IBM Java SDK 6R1 SR 8 FP 25
IBM Corp. IBM Java SDK 6R1 SR 8 FP 21
IBM Corp. IBM Java SDK 6R1 SR 8 FP 15
IBM Corp. IBM Java SDK 6 SR 16 FP 7
IBM Corp. IBM Java SDK 6 SR 16 FP 5
IBM Corp. IBM Java SDK 6 SR 16 FP 41
IBM Corp. IBM Java SDK 6 SR 16 FP 30
IBM Corp. IBM Java SDK 6 SR 16 FP 26
IBM Corp. IBM Java SDK 6 SR 16 FP 25
IBM Corp. IBM Java SDK 6 SR 16 FP 22
IBM Corp. IBM Java SDK 6 SR 16 FP 15
Novell Inc. OpenSUSE Leap 42.1
Red Hat Inc. Red Hat Enterprise Linux Workstation Supplementary 7
Red Hat Inc. Red Hat Enterprise Linux Workstation Supplementary 6
Red Hat Inc. Red Hat Enterprise Linux Server Supplementary 7
Red Hat Inc. Red Hat Enterprise Linux Server Supplementary 6
Red Hat Inc. Red Hat Enterprise Linux HPC Node Supplementary 6
Red Hat Inc. Red Hat Enterprise Linux Desktop Supplementary 6
Red Hat Inc. Red Hat Enterprise Linux ComputeNode Supplementary 7
IBM Corp. IBM i 6.1
IBM Corp. IBM i 7.1
IBM Corp. IBM i 7.2
IBM Corp. IBM i 7.3
IBM Corp. IBM Aix 5.3
IBM Corp. IBM Aix 6.1
IBM Corp. IBM Aix 7.1
IBM Corp. IBM Aix 7.2
Canonical Ltd. Ubuntu 18.04 LTS
Apple Inc. MacOS до 10.13
Сообщество свободного программного обеспечения Debian GNU/Linux 8
Apple Inc. iOS до 11.0
Canonical Ltd. Ubuntu 16.04 ESM
Apple Inc. watchOS до 4
Apple Inc. tvOS до 11
АО "НППКТ" ОСОН ОСнова Оnyx до 2.6
Уровень опасности уязвимости
Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)
Возможные меры по устранению уязвимости
Использование рекомендаций:
https://github.com/madler/zlib/commit/e54e1299404101a5a9d0cf5e45512b543967f958
Для Huawei Mate 9 Pro:
Обновление программного обеспечения до версии EMUI9.1.0 и выше
Для Ubuntu:
https://ubuntu.com/security/notices/USN-4292-1
https://ubuntu.com/security/notices/USN-4246-1
Для продуктов Oracle:
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpuoct2017.html
https://www.oracle.com/security-alerts/cpuoct2018.html
Для продуктов Apple:
https://support.apple.com/ru-ru/HT208144
https://support.apple.com/ru-ru/HT208115
https://support.apple.com/ru-ru/HT208113
https://support.apple.com/ru-ru/HT208112
Для Debian:
https://lists.debian.org/debian-lts-announce/2019/03/msg00027.html
https://lists.debian.org/debian-lts-announce/2020/01/msg00030.html
Для продуктов Novell Inc.:
https://lists.opensuse.org/archives/list/updates@lists.opensuse.org/message/MRDJW3XPN3FW5WF3DYT3WFOMUPP6KZBF/
https://lists.opensuse.org/archives/list/updates@lists.opensuse.org/message/OMSIGJVQEP2NTF5TWWHTMFKCQAJECWL4/
https://lists.opensuse.org/archives/list/updates@lists.opensuse.org/message/BZLCLEULOCMWPTCCKHV4XUTP4TXOHF66/
Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2016-9842
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения rsync до версии 3.2.6-1
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 94%
0.12133
Средний
8.8 High
CVSS3
6.8 Medium
CVSS2
Связанные уязвимости
CVSS3: 8.8
ubuntu
почти 9 лет назад
The inflateMark function in inflate.c in zlib 1.2.8 might allow context-dependent attackers to have unspecified impact via vectors involving left shifts of negative integers.
CVSS3: 8.8
redhat
больше 9 лет назад
The inflateMark function in inflate.c in zlib 1.2.8 might allow context-dependent attackers to have unspecified impact via vectors involving left shifts of negative integers.
CVSS3: 8.8
nvd
почти 9 лет назад
The inflateMark function in inflate.c in zlib 1.2.8 might allow context-dependent attackers to have unspecified impact via vectors involving left shifts of negative integers.
CVSS3: 8.8
msrc
около 1 года назад
The inflateMark function in inflate.c in zlib 1.2.8 might allow context-dependent attackers to have unspecified impact
CVSS3: 8.8
debian
почти 9 лет назад
The inflateMark function in inflate.c in zlib 1.2.8 might allow contex ...
EPSS
Процентиль: 94%
0.12133
Средний
8.8 High
CVSS3
6.8 Medium
CVSS2