BDU:2019-03312

Опубликовано: 09 мая 2018

Источник: fstec

CVSS3: 7.5

CVSS2: 7.6

EPSS Средний

Описание

Уязвимость библиотеки Skia браузеров Firefox ESR, Firefox и почтового клиента Thunderbird связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Вендор

Canonical Ltd.

Red Hat Inc.

АО «ИВК»

Сообщество свободного программного обеспечения

Novell Inc.

Mozilla Corp.

АО «НТЦ ИТ РОСА»

Наименование ПО

Ubuntu

Red Hat Enterprise Linux

Альт Линукс СПТ

Debian GNU/Linux

OpenSUSE Leap

Firefox ESR

Suse Linux Enterprise Desktop

SUSE Enterprise Storage

SUSE Linux Enterprise Server for SAP Applications

SUSE Linux Enterprise Software Development Kit

SUSE OpenStack Cloud

Suse Linux Enterprise Server

Альт 8 СП Сервер

Альт 8 СП Рабочая станция

SUSE Linux Enterprise Module for Desktop Applications

SUSE Linux Enterprise Point of Sale

Firefox

Thunderbird

SUSE Package Hub for SUSE Linux Enterprise

Thunderbird ESR

РОСА Кобальт

Версия ПО

14.04 LTS (Ubuntu)

6 (Red Hat Enterprise Linux)

7 (Red Hat Enterprise Linux)

16.04 LTS (Ubuntu)

7.0 (Альт Линукс СПТ)

9 (Debian GNU/Linux)

42.3 (OpenSUSE Leap)

17.10 (Ubuntu)

18.04 LTS (Ubuntu)

до 52.8 (Firefox ESR)

12 SP3 (Suse Linux Enterprise Desktop)

12 SP4 (Suse Linux Enterprise Desktop)

4 (SUSE Enterprise Storage)

12 SP2 (SUSE Linux Enterprise Server for SAP Applications)

12 SP2-BCL (SUSE Linux Enterprise Server for SAP Applications)

12 SP2-ESPOS (SUSE Linux Enterprise Server for SAP Applications)

12 SP2-LTSS (SUSE Linux Enterprise Server for SAP Applications)

12 SP3 (SUSE Linux Enterprise Server for SAP Applications)

12 SP3 (SUSE Linux Enterprise Software Development Kit)

12 SP4 (SUSE Linux Enterprise Software Development Kit)

7 (SUSE OpenStack Cloud)

8.0 (Debian GNU/Linux)

12 SP3 (Suse Linux Enterprise Server)

12 SP4 (Suse Linux Enterprise Server)

11 SP4 (Suse Linux Enterprise Server)

11 SP4 (SUSE Linux Enterprise Software Development Kit)

- (Альт 8 СП Сервер)

- (Альт 8 СП Рабочая станция)

15.0 (OpenSUSE Leap)

15 (SUSE Linux Enterprise Module for Desktop Applications)

12 SP2-CLIENT (SUSE Linux Enterprise Point of Sale)

15 SP1 (SUSE Linux Enterprise Module for Desktop Applications)

12 SP2-BCL (Suse Linux Enterprise Server)

12 SP2-ESPOS (Suse Linux Enterprise Server)

11 SP3 (SUSE Linux Enterprise Point of Sale)

12-LTSS (Suse Linux Enterprise Server)

11 SP3-LTSS (SUSE Linux Enterprise Server for SAP Applications)

11 SP4 (SUSE Linux Enterprise Server for SAP Applications)

12 SP1 (SUSE Linux Enterprise Server for SAP Applications)

12 SP1-LTSS (SUSE Linux Enterprise Server for SAP Applications)

12-LTSS (SUSE Linux Enterprise Server for SAP Applications)

12 SP1-LTSS (Suse Linux Enterprise Server)

12 SP2-LTSS (Suse Linux Enterprise Server)

11 SP3-LTSS (Suse Linux Enterprise Server)

6 (SUSE OpenStack Cloud)

до 60 (Firefox)

до 52.8 (Thunderbird)

12 (SUSE Package Hub for SUSE Linux Enterprise)

до 52.8 (Thunderbird ESR)

7.0 (Debian GNU/Linux)

- (РОСА Кобальт)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Canonical Ltd. Ubuntu 14.04 LTS

Red Hat Inc. Red Hat Enterprise Linux 6

Red Hat Inc. Red Hat Enterprise Linux 7

Canonical Ltd. Ubuntu 16.04 LTS

АО «ИВК» Альт Линукс СПТ 7.0

Сообщество свободного программного обеспечения Debian GNU/Linux 9

Novell Inc. OpenSUSE Leap 42.3

Canonical Ltd. Ubuntu 17.10

Canonical Ltd. Ubuntu 18.04 LTS

Novell Inc. Suse Linux Enterprise Desktop 12 SP3

Novell Inc. Suse Linux Enterprise Desktop 12 SP4

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2-BCL

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2-ESPOS

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2-LTSS

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3

Сообщество свободного программного обеспечения Debian GNU/Linux 8.0

Novell Inc. Suse Linux Enterprise Server 12 SP3

Novell Inc. Suse Linux Enterprise Server 12 SP4

Novell Inc. Suse Linux Enterprise Server 11 SP4

АО «ИВК» Альт 8 СП Сервер -

АО «ИВК» Альт 8 СП Рабочая станция -

Novell Inc. OpenSUSE Leap 15.0

Novell Inc. Suse Linux Enterprise Server 12 SP2-BCL

Novell Inc. Suse Linux Enterprise Server 12 SP2-ESPOS

Novell Inc. Suse Linux Enterprise Server 12-LTSS

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 11 SP3-LTSS

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 11 SP4

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP1

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP1-LTSS

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12-LTSS

Novell Inc. Suse Linux Enterprise Server 12 SP1-LTSS

Novell Inc. Suse Linux Enterprise Server 12 SP2-LTSS

Novell Inc. Suse Linux Enterprise Server 11 SP3-LTSS

Сообщество свободного программного обеспечения Debian GNU/Linux 7.0

АО «НТЦ ИТ РОСА» РОСА Кобальт -

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Для программных продуктов Mozilla Corp.:

https://bugzilla.mozilla.org/show_bug.cgi?id=1441941

Для Ubuntu:

https://usn.ubuntu.com/3645-1/

https://usn.ubuntu.com/3660-1/

Для программных продуктов Novell Inc.:

https://www.suse.com/security/cve/CVE-2018-5159/

Для Debian GNU/Linux:

https://www.debian.org/security/2018/dsa-4199

Для Альт Линукс СПТ:

https://cve.basealt.ru/otchet-po-obnovleniiam-ot-24042019.html

Для Альт 8 СП Сервер и Альт 8 СП Рабочая станция:

http://altsp.su/obnovleniya-bezopasnosti/

Для программных продуктов Red Hat Inc.:

https://access.redhat.com/security/cve/cve-2018-5159

Для ОС РОСА КОБАЛЬТ:

http://wiki.rosalab.ru/ru/index.php/ROSA-SA-18-05-29.006

http://wiki.rosalab.ru/ru/index.php/ROSA-SA-18-05-29.005

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-5159
CVE

EPSS

Процентиль: 97%

0.40642

Средний

7.5 High

CVSS3

7.6 High

CVSS2

Связанные уязвимости

CVE-2018-5159

CVSS3: 9.8

ubuntu

больше 7 лет назад

An integer overflow can occur in the Skia library due to 32-bit integer use in an array without integer overflow checks, resulting in possible out-of-bounds writes. This could lead to a potentially exploitable crash triggerable by web content. This vulnerability affects Thunderbird < 52.8, Thunderbird ESR < 52.8, Firefox < 60, and Firefox ESR < 52.8.

CVE-2018-5159

CVSS3: 9.8

redhat

больше 7 лет назад

CVE-2018-5159

CVSS3: 9.8

nvd

больше 7 лет назад

CVE-2018-5159

CVSS3: 9.8

debian

больше 7 лет назад

An integer overflow can occur in the Skia library due to 32-bit intege ...

GHSA-qchp-2hvj-gj3q

CVSS3: 9.8

github

больше 3 лет назад

EPSS

Процентиль: 97%

0.40642

Средний

7.5 High

CVSS3

7.6 High

CVSS2