Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-01773

Опубликовано: 04 фев. 2018
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость функции mempcpy (stdlib/canonicalize.c) библиотеки, обеспечивающей системные вызовы и основные функции glibc вызвана целочисленным переполнением. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Вендор

ООО «РусБИТех-Астра»
Oracle Corp.
The GNU Project

Наименование ПО

Astra Linux Special Edition
Oracle Communications Session Border Controller
Enterprise Communications Broker
Oracle Enterprise Session Border Controller
glibc
Astra Linux Special Edition для «Эльбрус»

Версия ПО

1.6 «Смоленск» (Astra Linux Special Edition)
8.0.0 (Oracle Communications Session Border Controller)
8.1.0 (Oracle Communications Session Border Controller)
8.2.0 (Oracle Communications Session Border Controller)
3.0.0 (Enterprise Communications Broker)
3.1.0 (Enterprise Communications Broker)
8.0.0 (Oracle Enterprise Session Border Controller)
8.1.0 (Oracle Enterprise Session Border Controller)
8.2.0 (Oracle Enterprise Session Border Controller)
до 2.27 включительно (glibc)
8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)

Тип ПО

Операционная система
Сетевое программное средство
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Обновление библиотеки glibc до версии 2.28 или новее
Для продуктов Oracle использование рекомендаций:
https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html
Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16
Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет glibc до 2.29-26.018-astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 75%
0.00894
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2018-11236

CVSS3: 9.8
ubuntu
больше 7 лет назад

stdlib/canonicalize.c in the GNU C Library (aka glibc or libc6) 2.27 and earlier, when processing very long pathname arguments to the realpath function, could encounter an integer overflow on 32-bit architectures, leading to a stack-based buffer overflow and, potentially, arbitrary code execution.

redhat логотип

CVE-2018-11236

CVSS3: 7.8
redhat
почти 8 лет назад

stdlib/canonicalize.c in the GNU C Library (aka glibc or libc6) 2.27 and earlier, when processing very long pathname arguments to the realpath function, could encounter an integer overflow on 32-bit architectures, leading to a stack-based buffer overflow and, potentially, arbitrary code execution.

nvd логотип

CVE-2018-11236

CVSS3: 9.8
nvd
больше 7 лет назад

stdlib/canonicalize.c in the GNU C Library (aka glibc or libc6) 2.27 and earlier, when processing very long pathname arguments to the realpath function, could encounter an integer overflow on 32-bit architectures, leading to a stack-based buffer overflow and, potentially, arbitrary code execution.

debian логотип

CVE-2018-11236

CVSS3: 9.8
debian
больше 7 лет назад

stdlib/canonicalize.c in the GNU C Library (aka glibc or libc6) 2.27 a ...

suse-cvrf логотип

SUSE-SU-2018:2302-1

suse-cvrf
больше 7 лет назад

Security update for glibc

EPSS

Процентиль: 75%
0.00894
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2