Описание
Уязвимость драйвера ALSA /dev/snd/seq ядра операционной системы Linux связана с использованием памяти после её освобождения. Эксплуатация уязвимости может позволить нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
Вендор
Canonical Ltd.
Сообщество свободного программного обеспечения
Juniper Networks Inc.
Novell Inc.
Oracle Corp.
Наименование ПО
Ubuntu
Debian GNU/Linux
Junos Space Network Management Platform
Linux
Suse Linux Enterprise Desktop
SUSE Linux Enterprise Server for SAP Applications
SUSE Linux Enterprise Software Development Kit
SUSE Linux Enterprise Workstation Extension
Suse Linux Enterprise Server
SUSE Linux Enterprise Module for Basesystem
OpenSUSE Leap
SUSE Linux Enterprise Module for Development Tools
SUSE Linux Enterprise High Availability
SUSE Linux Enterprise Live Patching
SUSE Linux Enterprise Module for Legacy Software
SUSE Linux Enterprise Module for Live Patching
SUSE Linux Enterprise Module for Public Cloud
SUSE Linux Enterprise Point of Sale
SUSE Linux Enterprise Real Time Extension
Communications EAGLE LNP Application Processor
SUSE OpenStack Cloud
Версия ПО
14.04 LTS (Ubuntu)
16.04 LTS (Ubuntu)
9 (Debian GNU/Linux)
18.4R1 (Junos Space Network Management Platform)
4.15 (Linux)
12 SP4 (Suse Linux Enterprise Desktop)
12 SP2 (SUSE Linux Enterprise Server for SAP Applications)
12 SP2-LTSS (SUSE Linux Enterprise Server for SAP Applications)
12 SP4 (SUSE Linux Enterprise Software Development Kit)
12 SP4 (SUSE Linux Enterprise Workstation Extension)
8.0 (Debian GNU/Linux)
12 SP4 (Suse Linux Enterprise Server)
11 SP4 (Suse Linux Enterprise Server)
11 SP4 (SUSE Linux Enterprise Software Development Kit)
12.04 ESM (Ubuntu)
15 (SUSE Linux Enterprise Module for Basesystem)
15 SP1 (SUSE Linux Enterprise Module for Basesystem)
15.0 (OpenSUSE Leap)
15 (SUSE Linux Enterprise Module for Development Tools)
15 SP1 (SUSE Linux Enterprise Module for Development Tools)
12 SP4 (SUSE Linux Enterprise High Availability)
15 (SUSE Linux Enterprise High Availability)
15 SP1 (SUSE Linux Enterprise High Availability)
12 SP3 (SUSE Linux Enterprise Live Patching)
15 SP1 (SUSE Linux Enterprise Module for Legacy Software)
15 (SUSE Linux Enterprise Module for Legacy Software)
15 (SUSE Linux Enterprise Module for Live Patching)
12 (SUSE Linux Enterprise Module for Public Cloud)
11 SP3 (SUSE Linux Enterprise Point of Sale)
11 SP4 (SUSE Linux Enterprise Real Time Extension)
12-LTSS (Suse Linux Enterprise Server)
11 SP3-LTSS (SUSE Linux Enterprise Server for SAP Applications)
11 SP4 (SUSE Linux Enterprise Server for SAP Applications)
12 SP1 (SUSE Linux Enterprise Server for SAP Applications)
12 SP1-LTSS (SUSE Linux Enterprise Server for SAP Applications)
12-LTSS (SUSE Linux Enterprise Server for SAP Applications)
15 (SUSE Linux Enterprise Workstation Extension)
15 SP1 (SUSE Linux Enterprise Workstation Extension)
12 SP1-LTSS (Suse Linux Enterprise Server)
12 SP2-LTSS (Suse Linux Enterprise Server)
16.1.0 (Communications EAGLE LNP Application Processor)
16.2.0 (Communications EAGLE LNP Application Processor)
11 SP3-LTSS (Suse Linux Enterprise Server)
6 (SUSE OpenStack Cloud)
7.0 (Debian GNU/Linux)
от 4.0 до 4.1.49 включительно (Linux)
от 4.2 до 4.4.116 включительно (Linux)
от 4.5 до 4.9.82 включительно (Linux)
от 4.10 до 4.14.20 включительно (Linux)
от 4.15.0 до 4.15.4 включительно (Linux)
Тип ПО
Операционная система
Сетевое средство
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Linux:
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=d15d662e89fc667b90cd294b0eb45694e33144da
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.1.50
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.21
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.15.5
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.4.117
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.83
Для программных продуктов Oracle Corp.:
https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html
Для Debian GNU/Linux:
https://www.debian.org/security/2018/dsa-4187
https://www.debian.org/security/2018/dsa-4188
Для Ubuntu:
https://usn.ubuntu.com/3631-1/
https://usn.ubuntu.com/3631-2/
https://usn.ubuntu.com/3798-1/
https://usn.ubuntu.com/3798-2/
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2018-7566/
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 9%
0.00034
Низкий
7.8 High
CVSS3
4.6 Medium
CVSS2
Связанные уязвимости
CVSS3: 7.8
ubuntu
около 7 лет назад
The Linux kernel 4.15 has a Buffer Overflow via an SNDRV_SEQ_IOCTL_SET_CLIENT_POOL ioctl write operation to /dev/snd/seq by a local user.
CVSS3: 6.1
redhat
больше 7 лет назад
The Linux kernel 4.15 has a Buffer Overflow via an SNDRV_SEQ_IOCTL_SET_CLIENT_POOL ioctl write operation to /dev/snd/seq by a local user.
CVSS3: 7.8
nvd
около 7 лет назад
The Linux kernel 4.15 has a Buffer Overflow via an SNDRV_SEQ_IOCTL_SET_CLIENT_POOL ioctl write operation to /dev/snd/seq by a local user.
CVSS3: 7.8
debian
около 7 лет назад
The Linux kernel 4.15 has a Buffer Overflow via an SNDRV_SEQ_IOCTL_SET ...
suse-cvrf
около 7 лет назад
Security update for the Linux Kernel (Live Patch 33 for SLE 12)
EPSS
Процентиль: 9%
0.00034
Низкий
7.8 High
CVSS3
4.6 Medium
CVSS2