Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-00237

Опубликовано: 08 июн. 2018
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость процесса mainproc.c программы шифрования информации и создания электронных цифровых подписей GNU Privacy Guard связана с недостаточной проверкой вводимых данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на целостность защищаемой информации

Вендор

Сообщество свободного программного обеспечения
Juniper Networks Inc.
ООО «РусБИТех-Астра»
АО «НТЦ ИТ РОСА»
АО «Концерн ВНИИНС»

Наименование ПО

Debian GNU/Linux
Junos Space Network Management Platform
GnuPG
Astra Linux Special Edition
Astra Linux Special Edition для «Эльбрус»
РОСА Кобальт
ОС ОН «Стрелец»

Версия ПО

9 (Debian GNU/Linux)
18.4R1 (Junos Space Network Management Platform)
до 2.2.8 (GnuPG)
1.6 «Смоленск» (Astra Linux Special Edition)
8 (Debian GNU/Linux)
8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
- (РОСА Кобальт)
до 16.01.2023 (ОС ОН «Стрелец»)
1.8 (Astra Linux Special Edition)

Тип ПО

Операционная система
Сетевое средство
Программное средство защиты

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Сообщество свободного программного обеспечения Debian GNU/Linux 8
ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»
АО «НТЦ ИТ РОСА» РОСА Кобальт -
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Для GnuPG:
Обновление программного обеспечения до 2.2.8 или более поздней версии
Для Astra Linux:
Обновление программного обеспечения (пакета gnupg2) до 2.0.26-6+deb8u2 или более поздней версии
Для Debian:
Обновление программного обеспечения (пакета gnupg2) до 2.1.18-8~deb9u2 или более поздней версии
Для ОС РОСА КОБАЛЬТ:
http://wiki.rosalab.ru/ru/index.php/ROSA-SA-18-06-09.001
Для ОС ОН «Стрелец»:
Обновление программного обеспечения python-gnupg до версии 0.3.9-1+deb9u1
Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0811SE18

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 81%
0.01639
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2018-12020

CVSS3: 7.5
ubuntu
больше 7 лет назад

mainproc.c in GnuPG before 2.2.8 mishandles the original filename during decryption and verification actions, which allows remote attackers to spoof the output that GnuPG sends on file descriptor 2 to other programs that use the "--status-fd 2" option. For example, the OpenPGP data might represent an original filename that contains line feed characters in conjunction with GOODSIG or VALIDSIG status codes.

redhat логотип

CVE-2018-12020

CVSS3: 7.5
redhat
больше 7 лет назад

mainproc.c in GnuPG before 2.2.8 mishandles the original filename during decryption and verification actions, which allows remote attackers to spoof the output that GnuPG sends on file descriptor 2 to other programs that use the "--status-fd 2" option. For example, the OpenPGP data might represent an original filename that contains line feed characters in conjunction with GOODSIG or VALIDSIG status codes.

nvd логотип

CVE-2018-12020

CVSS3: 7.5
nvd
больше 7 лет назад

mainproc.c in GnuPG before 2.2.8 mishandles the original filename during decryption and verification actions, which allows remote attackers to spoof the output that GnuPG sends on file descriptor 2 to other programs that use the "--status-fd 2" option. For example, the OpenPGP data might represent an original filename that contains line feed characters in conjunction with GOODSIG or VALIDSIG status codes.

debian логотип

CVE-2018-12020

CVSS3: 7.5
debian
больше 7 лет назад

mainproc.c in GnuPG before 2.2.8 mishandles the original filename duri ...

suse-cvrf логотип

openSUSE-SU-2018:1724-1

suse-cvrf
больше 7 лет назад

Security update for gpg2

EPSS

Процентиль: 81%
0.01639
Низкий

7.5 High

CVSS3

7.8 High

CVSS2