Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-03229

Опубликовано: 25 июл. 2019
Источник: fstec
CVSS3: 8.1
CVSS2: 7.6
EPSS Низкий

Описание

Уязвимость функции сжатия библиотеки для сжатия данных Zstandard связана с ошибками синхронизации при использовании общего ресурса («Ситуация гонки»). Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Вендор

Canonical Ltd.
Novell Inc.
Meta Platforms Inc

Наименование ПО

Ubuntu
OpenSUSE Leap
Zstandard

Версия ПО

18.04 LTS (Ubuntu)
15.0 (OpenSUSE Leap)
15.1 (OpenSUSE Leap)
до 1.3.8 (Zstandard)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Canonical Ltd. Ubuntu 18.04 LTS
Novell Inc. OpenSUSE Leap 15.0
Novell Inc. OpenSUSE Leap 15.1

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Zstandard:
https://github.com/facebook/zstd/pull/1404/commits/3e5cdf1b6a85843e991d7d10f6a2567c15580da0
Для Ubuntu:
https://usn.ubuntu.com/4108-1/
Для OpenSUSE Leap:
https://www.suse.com/security/cve/CVE-2019-11922/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 70%
0.00634
Низкий

8.1 High

CVSS3

7.6 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2019-11922

CVSS3: 8.1
ubuntu
больше 6 лет назад

A race condition in the one-pass compression functions of Zstandard prior to version 1.3.8 could allow an attacker to write bytes out of bounds if an output buffer smaller than the recommended size was used.

redhat логотип

CVE-2019-11922

CVSS3: 8.1
redhat
больше 3 лет назад

A race condition in the one-pass compression functions of Zstandard prior to version 1.3.8 could allow an attacker to write bytes out of bounds if an output buffer smaller than the recommended size was used.

nvd логотип

CVE-2019-11922

CVSS3: 8.1
nvd
больше 6 лет назад

A race condition in the one-pass compression functions of Zstandard prior to version 1.3.8 could allow an attacker to write bytes out of bounds if an output buffer smaller than the recommended size was used.

debian логотип

CVE-2019-11922

CVSS3: 8.1
debian
больше 6 лет назад

A race condition in the one-pass compression functions of Zstandard pr ...

suse-cvrf логотип

openSUSE-SU-2019:1952-1

suse-cvrf
больше 6 лет назад

Security update for zstd

EPSS

Процентиль: 70%
0.00634
Низкий

8.1 High

CVSS3

7.6 High

CVSS2