Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-03626

Опубликовано: 13 июл. 2019
Источник: fstec
CVSS3: 6.8
CVSS2: 7.2
EPSS Низкий

Описание

Уязвимость функции parse_hid_report_descriptor() ядра операционной системы Linux связана с записью за границами буфера во время генерации сообщений отладки. Эксплуатация уязвимости может позволить нарушителю оказать воздействие на целостность данных, получить несанкционированный доступ к защищаемой информации, а также вызвать отказ в обслуживании при помощи специально созданного вредоносного USB-устройства, которое может отправить HID-отчет злоумышленнику

Вендор

Canonical Ltd.
Сообщество свободного программного обеспечения
АО «НТЦ ИТ РОСА»

Наименование ПО

Ubuntu
Debian GNU/Linux
Linux
ROSA Virtualization 3.0

Версия ПО

16.04 LTS (Ubuntu)
9 (Debian GNU/Linux)
18.04 LTS (Ubuntu)
8.0 (Debian GNU/Linux)
19.04 (Ubuntu)
от 4.0 до 4.4.186 включительно (Linux)
от 4.5 до 4.9.186 включительно (Linux)
от 4.20 до 5.1.19 включительно (Linux)
от 5.2.0 до 5.2.2 включительно (Linux)
от 4.15 до 4.19.60 включительно (Linux)
от 4.10 до 4.14.134 включительно (Linux)
3.0 (ROSA Virtualization 3.0)

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

Canonical Ltd. Ubuntu 16.04 LTS
Сообщество свободного программного обеспечения Debian GNU/Linux 9
Canonical Ltd. Ubuntu 18.04 LTS
Сообщество свободного программного обеспечения Debian GNU/Linux 8.0
Canonical Ltd. Ubuntu 19.04
АО «НТЦ ИТ РОСА» ROSA Virtualization 3.0 3.0

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,2)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,8)

Возможные меры по устранению уязвимости

Для linux:
https://patchwork.kernel.org/patch/11040813/https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.135
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.61
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.4.187
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.187
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.1.20
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.2.3
Для Debian:
Обновление программного обеспечения(пакета linux) до 4.9.168-1+deb9u5 или более поздней версии
Для Ubuntu:
https://usn.ubuntu.com/4115-1/
https://usn.ubuntu.com/4118-1/
https://usn.ubuntu.com/4145-1/
https://usn.ubuntu.com/4147-1/
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2861

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 4%
0.00019
Низкий

6.8 Medium

CVSS3

7.2 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2019-13631

CVSS3: 6.8
ubuntu
около 6 лет назад

In parse_hid_report_descriptor in drivers/input/tablet/gtco.c in the Linux kernel through 5.2.1, a malicious USB device can send an HID report that triggers an out-of-bounds write during generation of debugging messages.

redhat логотип

CVE-2019-13631

CVSS3: 5.3
redhat
около 6 лет назад

In parse_hid_report_descriptor in drivers/input/tablet/gtco.c in the Linux kernel through 5.2.1, a malicious USB device can send an HID report that triggers an out-of-bounds write during generation of debugging messages.

nvd логотип

CVE-2019-13631

CVSS3: 6.8
nvd
около 6 лет назад

In parse_hid_report_descriptor in drivers/input/tablet/gtco.c in the Linux kernel through 5.2.1, a malicious USB device can send an HID report that triggers an out-of-bounds write during generation of debugging messages.

debian логотип

CVE-2019-13631

CVSS3: 6.8
debian
около 6 лет назад

In parse_hid_report_descriptor in drivers/input/tablet/gtco.c in the L ...

github логотип

GHSA-vf49-33fx-342v

CVSS3: 6.8
github
больше 3 лет назад

In parse_hid_report_descriptor in drivers/input/tablet/gtco.c in the Linux kernel through 5.2.1, a malicious USB device can send an HID report that triggers an out-of-bounds write during generation of debugging messages.

EPSS

Процентиль: 4%
0.00019
Низкий

6.8 Medium

CVSS3

7.2 High

CVSS2