Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-02907

Опубликовано: 18 дек. 2018
Источник: fstec
CVSS3: 6.8
CVSS2: 4.6
EPSS Низкий

Описание

Уязвимость буфера в dev.c программного обеспечения для работы с ключами безопасности YubiKey связана с выходом операции за пределы границ буфера памяти. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код

Вендор

Сообщество свободного программного обеспечения
Yubico
АО "НППКТ"

Наименование ПО

Debian GNU/Linux
The YubiKey
ОСОН ОСнова Оnyx

Версия ПО

9 (Debian GNU/Linux)
8 (Debian GNU/Linux)
до 1.1.6 (The YubiKey)
до 2.8 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Linux .
АО "НППКТ" ОСОН ОСнова Оnyx до 2.8

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,8)

Возможные меры по устранению уязвимости

Для libu2f-host:
Обновление программного обеспечения до 1.1.7-1 или более поздней версии
Для Debian:
Обновление программного обеспечения (пакета libu2f-host) до 1.1.2-2+deb9u1 или более поздней версии
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения libu2f-host до версии 1.1.10-3

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 42%
0.00196
Низкий

6.8 Medium

CVSS3

4.6 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2018-20340

CVSS3: 6.8
ubuntu
почти 7 лет назад

Yubico libu2f-host 1.1.6 contains unchecked buffers in devs.c, which could enable a malicious token to exploit a buffer overflow. An attacker could use this to attempt to execute malicious code using a crafted USB device masquerading as a security token on a computer where the affected library is currently in use. It is not possible to perform this attack with a genuine YubiKey.

nvd логотип

CVE-2018-20340

CVSS3: 6.8
nvd
почти 7 лет назад

Yubico libu2f-host 1.1.6 contains unchecked buffers in devs.c, which could enable a malicious token to exploit a buffer overflow. An attacker could use this to attempt to execute malicious code using a crafted USB device masquerading as a security token on a computer where the affected library is currently in use. It is not possible to perform this attack with a genuine YubiKey.

debian логотип

CVE-2018-20340

CVSS3: 6.8
debian
почти 7 лет назад

Yubico libu2f-host 1.1.6 contains unchecked buffers in devs.c, which c ...

suse-cvrf логотип

openSUSE-SU-2019:1475-1

suse-cvrf
больше 6 лет назад

Security update for libu2f-host

suse-cvrf логотип

openSUSE-SU-2019:0199-1

suse-cvrf
почти 7 лет назад

Security update for libu2f-host

EPSS

Процентиль: 42%
0.00196
Низкий

6.8 Medium

CVSS3

4.6 Medium

CVSS2