Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-00963

Опубликовано: 18 июл. 2018
Источник: fstec
CVSS3: 9.1
CVSS2: 6.4
EPSS Низкий

Описание

Уязвимость функции vout (tool_msgstr.c) программного средства для взаимодействия с серверами curl связана с чтением за границами буфера памяти при переполнении буфера кучи. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, раскрыть защищаемую информацию или вызвать отказ в обслуживании

Вендор

ООО «РусБИТех-Астра»
Daniel Stenberg
ООО «Ред Софт»
Hitachi, Ltd.

Наименование ПО

Astra Linux Special Edition
cURL
РЕД ОС
Astra Linux Special Edition для «Эльбрус»
Hitachi MSM

Версия ПО

1.6 «Смоленск» (Astra Linux Special Edition)
до 7.61.1 (cURL)
до 7.2 Муром (РЕД ОС)
8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
до 2.2 включительно (Hitachi MSM)

Тип ПО

Операционная система
Прикладное ПО информационных систем
Средство АСУ ТП

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,1)

Возможные меры по устранению уязвимости

Для curl:
Обновление программного обеспечения до 7.61.1 или более поздней версии
Для Hitachi Energy:
https://www.cisa.gov/uscert/ics/advisories/icsa-22-242-03
Для Astra Linux:
Обновление программного обеспечения (пакета curl) до 7.38.0-4+deb8u12 или более поздней версии
Для Debian:
Обновление программного обеспечения (пакета curl) до 7.38.0-4+deb8u12 или более поздней версии
Для РЕД ОС:
Обновление операционной системы до версии 7.2 Муром

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 33%
0.00126
Низкий

9.1 Critical

CVSS3

6.4 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2018-16842

CVSS3: 4.4
ubuntu
больше 7 лет назад

Curl versions 7.14.1 through 7.61.1 are vulnerable to a heap-based buffer over-read in the tool_msgs.c:voutf() function that may result in information exposure and denial of service.

redhat логотип

CVE-2018-16842

CVSS3: 3.6
redhat
больше 7 лет назад

Curl versions 7.14.1 through 7.61.1 are vulnerable to a heap-based buffer over-read in the tool_msgs.c:voutf() function that may result in information exposure and denial of service.

nvd логотип

CVE-2018-16842

CVSS3: 4.4
nvd
больше 7 лет назад

Curl versions 7.14.1 through 7.61.1 are vulnerable to a heap-based buffer over-read in the tool_msgs.c:voutf() function that may result in information exposure and denial of service.

debian логотип

CVE-2018-16842

CVSS3: 4.4
debian
больше 7 лет назад

Curl versions 7.14.1 through 7.61.1 are vulnerable to a heap-based buf ...

github логотип

GHSA-wh7w-vjg6-xh6h

CVSS3: 9.1
github
больше 3 лет назад

Curl versions 7.14.1 through 7.61.1 are vulnerable to a heap-based buffer over-read in the tool_msgs.c:voutf() function that may result in information exposure and denial of service.

EPSS

Процентиль: 33%
0.00126
Низкий

9.1 Critical

CVSS3

6.4 Medium

CVSS2