Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-03567

Опубликовано: 10 июн. 2019
Источник: fstec
CVSS3: 7.2
CVSS2: 9
EPSS Средний

Описание

Уязвимость алгоритма HyperLogLog резидентной системы управления базами данных класса NoSQL Redis связана с повреждением структуры данных HyperLogLog при выполнении команды SETRANGE, которая позволяет записать до 3 байтов информации за пределы буфера памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Вендор

Red Hat Inc.
Canonical Ltd.
Сообщество свободного программного обеспечения
ООО «РусБИТех-Астра»
Oracle Corp.
Redis Labs

Наименование ПО

Red Hat Enterprise Linux
Ubuntu
Debian GNU/Linux
Astra Linux Special Edition
Communications Operations Monitor
Red Hat OpenStack Platform
Redis

Версия ПО

7 (Red Hat Enterprise Linux)
16.04 LTS (Ubuntu)
9 (Debian GNU/Linux)
18.04 LTS (Ubuntu)
1.6 «Смоленск» (Astra Linux Special Edition)
19.04 (Ubuntu)
3.4 (Communications Operations Monitor)
8 (Red Hat Enterprise Linux)
9.0 (Red Hat OpenStack Platform)
13.0 (Red Hat OpenStack Platform)
14.0 (Red Hat OpenStack Platform)
10 (Debian GNU/Linux)
10 (Red Hat OpenStack Platform)
от 3.0.0 до 3.2.13 (Redis)
от 4.0.0 до 4.0.14 (Redis)
от 5.0 до 5.0.4 (Redis)
4.1 (Communications Operations Monitor)

Тип ПО

Операционная система
Сетевое программное средство
ПО программно-аппаратного средства
СУБД

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 7
Canonical Ltd. Ubuntu 16.04 LTS
Сообщество свободного программного обеспечения Debian GNU/Linux 9
Canonical Ltd. Ubuntu 18.04 LTS
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Canonical Ltd. Ubuntu 19.04
Red Hat Inc. Red Hat Enterprise Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,2)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Redis:
Обновление программного обеспечения до 5:5.0.5-2 или более поздней версии
Для Debian:
Обновление программного обеспечения (пакета redis) до 3:3.2.6-3+deb9u3 или более поздней версии
Для Ubuntu:
https://usn.ubuntu.com/4061-1/
Для программных продуктов Red Hat Inc.:
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-10192
Для Astra Linux.:
https://wiki.astralinux.ru/pages/viewpage.action?pageId=57444186
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujul2020.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 96%
0.21637
Средний

7.2 High

CVSS3

9 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2019-10192

CVSS3: 7.2
ubuntu
больше 6 лет назад

A heap-buffer overflow vulnerability was found in the Redis hyperloglog data structure versions 3.x before 3.2.13, 4.x before 4.0.14 and 5.x before 5.0.4. By carefully corrupting a hyperloglog using the SETRANGE command, an attacker could trick Redis interpretation of dense HLL encoding to write up to 3 bytes beyond the end of a heap-allocated buffer.

redhat логотип

CVE-2019-10192

CVSS3: 7.2
redhat
больше 6 лет назад

A heap-buffer overflow vulnerability was found in the Redis hyperloglog data structure versions 3.x before 3.2.13, 4.x before 4.0.14 and 5.x before 5.0.4. By carefully corrupting a hyperloglog using the SETRANGE command, an attacker could trick Redis interpretation of dense HLL encoding to write up to 3 bytes beyond the end of a heap-allocated buffer.

nvd логотип

CVE-2019-10192

CVSS3: 7.2
nvd
больше 6 лет назад

A heap-buffer overflow vulnerability was found in the Redis hyperloglog data structure versions 3.x before 3.2.13, 4.x before 4.0.14 and 5.x before 5.0.4. By carefully corrupting a hyperloglog using the SETRANGE command, an attacker could trick Redis interpretation of dense HLL encoding to write up to 3 bytes beyond the end of a heap-allocated buffer.

debian логотип

CVE-2019-10192

CVSS3: 7.2
debian
больше 6 лет назад

A heap-buffer overflow vulnerability was found in the Redis hyperloglo ...

github логотип

GHSA-pgcv-crqq-f8x5

github
больше 3 лет назад

A heap-buffer overflow vulnerability was found in the Redis hyperloglog data structure versions 3.x before 3.2.13, 4.x before 4.0.14 and 5.x before 5.0.4. By carefully corrupting a hyperloglog using the SETRANGE command, an attacker could trick Redis interpretation of dense HLL encoding to write up to 3 bytes beyond the end of a heap-allocated buffer.

EPSS

Процентиль: 96%
0.21637
Средний

7.2 High

CVSS3

9 Critical

CVSS2