Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2017-02383

Опубликовано: 22 сент. 2016
Источник: fstec
CVSS3: 8.8
CVSS2: 6.8
EPSS Средний

Описание

Уязвимость функции inflateMark (inflate.c) библиотеки zlib вызвана ошибкой обработки отрицательных чисел. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать неопределённое поведение программы, что может привести к нарушению конфиденциальности, целостности и доступности защищаемой информации

Вендор

Novell Inc.
Жан-Лу Гайи, Марк Адлер
IBM Corp.
Red Hat Inc.
Canonical Ltd.
Apple Inc.
Oracle Corp.
Сообщество свободного программного обеспечения
Huawei Technologies Co., Ltd.
АО "НППКТ"

Наименование ПО

openSUSE
zlib
OpenSUSE Leap
IBM Vios
IBM Java
Red Hat Enterprise Linux
IBM i
IBM Aix
Ubuntu
Mac OS
Database Server
Debian GNU/Linux
Huawei Mate 9 Pro
iOS
Java SE
Java SE Embedded
MySQL Server
watchOS
tvOS
ОСОН ОСнова Оnyx

Версия ПО

13.2 (openSUSE)
1.2.8 (zlib)
42.2 (OpenSUSE Leap)
2.2.0.0 (IBM Vios)
2.2.1.0 (IBM Vios)
2.2.1.1 (IBM Vios)
2.2.1.3 (IBM Vios)
2.2.1 4 (IBM Vios)
2.2.1.8 (IBM Vios)
2.2.1.9 (IBM Vios)
2.2.2.0 (IBM Vios)
2.2.2.4 (IBM Vios)
2.2.2.5 (IBM Vios)
2.2.2.6 (IBM Vios)
2.2.3.0 (IBM Vios)
2.2.3.2 (IBM Vios)
2.2.3.3 (IBM Vios)
2.2.3.4 (IBM Vios)
2.2.3.50 (IBM Vios)
2.2.4.0 (IBM Vios)
SDK 8 SR 4 FP 2 (IBM Java)
SDK 7R1 SR 4 FP 1 (IBM Java)
SDK 7 SR 10 FP 1 (IBM Java)
SDK 6R1 SR 8 FP 7 (IBM Java)
SDK 6R1 SR 8 FP 5 (IBM Java)
SDK 6R1 SR 8 FP 30 (IBM Java)
SDK 6R1 SR 8 FP 26 (IBM Java)
SDK 6R1 SR 8 FP 25 (IBM Java)
SDK 6R1 SR 8 FP 21 (IBM Java)
SDK 6R1 SR 8 FP 15 (IBM Java)
SDK 6 SR 16 FP 7 (IBM Java)
SDK 6 SR 16 FP 5 (IBM Java)
SDK 6 SR 16 FP 41 (IBM Java)
SDK 6 SR 16 FP 30 (IBM Java)
SDK 6 SR 16 FP 26 (IBM Java)
SDK 6 SR 16 FP 25 (IBM Java)
SDK 6 SR 16 FP 22 (IBM Java)
SDK 6 SR 16 FP 15 (IBM Java)
42.1 (OpenSUSE Leap)
Workstation Supplementary 7 (Red Hat Enterprise Linux)
Workstation Supplementary 6 (Red Hat Enterprise Linux)
Server Supplementary 7 (Red Hat Enterprise Linux)
Server Supplementary 6 (Red Hat Enterprise Linux)
HPC Node Supplementary 6 (Red Hat Enterprise Linux)
Desktop Supplementary 6 (Red Hat Enterprise Linux)
ComputeNode Supplementary 7 (Red Hat Enterprise Linux)
6.1 (IBM i)
7.1 (IBM i)
7.2 (IBM i)
7.3 (IBM i)
5.3 (IBM Aix)
6.1 (IBM Aix)
7.1 (IBM Aix)
7.2 (IBM Aix)
18.04 LTS (Ubuntu)
до High Sierra 10.13 (Mac OS)
18c (Database Server)
8 (Debian GNU/Linux)
EMUI5.0 (Huawei Mate 9 Pro)
до 11.0 (iOS)
16.04 ESM (Ubuntu)
6u161 (Java SE)
7u151 (Java SE)
8u144 (Java SE)
8u144 (Java SE Embedded)
до 5.5.61 включительно (MySQL Server)
от 5.6.0 до 5.6.41 включительно (MySQL Server)
от 5.7.0 до 5.7.23 включительно (MySQL Server)
от 8.0.0 до 8.0.12 включительно (MySQL Server)
до 4 (watchOS)
до 11 (tvOS)
до 2.6 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем
СУБД
Микропрограммный код
ПО виртуализации/ПО виртуального программно-аппаратного средства

Операционные системы и аппаратные платформы

Novell Inc. openSUSE 13.2
Novell Inc. OpenSUSE Leap 42.2
IBM Corp. IBM Vios 2.2.0.0
IBM Corp. IBM Vios 2.2.1.0
IBM Corp. IBM Vios 2.2.1.1
IBM Corp. IBM Vios 2.2.1.3
IBM Corp. IBM Vios 2.2.1 4
IBM Corp. IBM Vios 2.2.1.8
IBM Corp. IBM Vios 2.2.1.9
IBM Corp. IBM Vios 2.2.2.0
IBM Corp. IBM Vios 2.2.2.4
IBM Corp. IBM Vios 2.2.2.5
IBM Corp. IBM Vios 2.2.2.6
IBM Corp. IBM Vios 2.2.3.0
IBM Corp. IBM Vios 2.2.3.2
IBM Corp. IBM Vios 2.2.3.3
IBM Corp. IBM Vios 2.2.3.4
IBM Corp. IBM Vios 2.2.3.50
IBM Corp. IBM Vios 2.2.4.0
IBM Corp. IBM Java SDK 8 SR 4 FP 2
IBM Corp. IBM Java SDK 7R1 SR 4 FP 1
IBM Corp. IBM Java SDK 7 SR 10 FP 1
IBM Corp. IBM Java SDK 6R1 SR 8 FP 7
IBM Corp. IBM Java SDK 6R1 SR 8 FP 5
IBM Corp. IBM Java SDK 6R1 SR 8 FP 30
IBM Corp. IBM Java SDK 6R1 SR 8 FP 26
IBM Corp. IBM Java SDK 6R1 SR 8 FP 25
IBM Corp. IBM Java SDK 6R1 SR 8 FP 21
IBM Corp. IBM Java SDK 6R1 SR 8 FP 15
IBM Corp. IBM Java SDK 6 SR 16 FP 7
IBM Corp. IBM Java SDK 6 SR 16 FP 5
IBM Corp. IBM Java SDK 6 SR 16 FP 41
IBM Corp. IBM Java SDK 6 SR 16 FP 30
IBM Corp. IBM Java SDK 6 SR 16 FP 26
IBM Corp. IBM Java SDK 6 SR 16 FP 25
IBM Corp. IBM Java SDK 6 SR 16 FP 22
IBM Corp. IBM Java SDK 6 SR 16 FP 15
Novell Inc. OpenSUSE Leap 42.1
Red Hat Inc. Red Hat Enterprise Linux Workstation Supplementary 7
Red Hat Inc. Red Hat Enterprise Linux Workstation Supplementary 6
Red Hat Inc. Red Hat Enterprise Linux Server Supplementary 7
Red Hat Inc. Red Hat Enterprise Linux Server Supplementary 6
Red Hat Inc. Red Hat Enterprise Linux HPC Node Supplementary 6
Red Hat Inc. Red Hat Enterprise Linux Desktop Supplementary 6
Red Hat Inc. Red Hat Enterprise Linux ComputeNode Supplementary 7
IBM Corp. IBM i 6.1
IBM Corp. IBM i 7.1
IBM Corp. IBM i 7.2
IBM Corp. IBM i 7.3
IBM Corp. IBM Aix 5.3
IBM Corp. IBM Aix 6.1
IBM Corp. IBM Aix 7.1
IBM Corp. IBM Aix 7.2
Canonical Ltd. Ubuntu 18.04 LTS
Apple Inc. Mac OS до High Sierra 10.13
Сообщество свободного программного обеспечения Debian GNU/Linux 8
Apple Inc. iOS до 11.0
Canonical Ltd. Ubuntu 16.04 ESM
Apple Inc. watchOS до 4
Apple Inc. tvOS до 11
АО "НППКТ" ОСОН ОСнова Оnyx до 2.6

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/madler/zlib/commit/e54e1299404101a5a9d0cf5e45512b543967f958
Для Huawei Mate 9 Pro:
Обновление программного обеспечения до версии EMUI9.1.0 и выше
Для Ubuntu:
https://ubuntu.com/security/notices/USN-4292-1
https://ubuntu.com/security/notices/USN-4246-1
Для продуктов Oracle:
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpuoct2017.html
https://www.oracle.com/security-alerts/cpuoct2018.html
Для продуктов Apple:
https://support.apple.com/ru-ru/HT208144
https://support.apple.com/ru-ru/HT208115
https://support.apple.com/ru-ru/HT208113
https://support.apple.com/ru-ru/HT208112
Для Debian:
https://lists.debian.org/debian-lts-announce/2019/03/msg00027.html
https://lists.debian.org/debian-lts-announce/2020/01/msg00030.html
Для продуктов Novell Inc.:
https://lists.opensuse.org/archives/list/updates@lists.opensuse.org/message/MRDJW3XPN3FW5WF3DYT3WFOMUPP6KZBF/
https://lists.opensuse.org/archives/list/updates@lists.opensuse.org/message/OMSIGJVQEP2NTF5TWWHTMFKCQAJECWL4/
https://lists.opensuse.org/archives/list/updates@lists.opensuse.org/message/BZLCLEULOCMWPTCCKHV4XUTP4TXOHF66/
Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2016-9842
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения rsync до версии 3.2.6-1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 93%
0.10318
Средний

8.8 High

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2016-9842

CVSS3: 8.8
ubuntu
около 8 лет назад

The inflateMark function in inflate.c in zlib 1.2.8 might allow context-dependent attackers to have unspecified impact via vectors involving left shifts of negative integers.

redhat логотип

CVE-2016-9842

CVSS3: 8.8
redhat
почти 9 лет назад

The inflateMark function in inflate.c in zlib 1.2.8 might allow context-dependent attackers to have unspecified impact via vectors involving left shifts of negative integers.

nvd логотип

CVE-2016-9842

CVSS3: 8.8
nvd
около 8 лет назад

The inflateMark function in inflate.c in zlib 1.2.8 might allow context-dependent attackers to have unspecified impact via vectors involving left shifts of negative integers.

msrc логотип

CVE-2016-9842

CVSS3: 8.8
msrc
3 месяца назад

Описание отсутствует

debian логотип

CVE-2016-9842

CVSS3: 8.8
debian
около 8 лет назад

The inflateMark function in inflate.c in zlib 1.2.8 might allow contex ...

EPSS

Процентиль: 93%
0.10318
Средний

8.8 High

CVSS3

6.8 Medium

CVSS2