Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-03626

Опубликовано: 13 июл. 2019
Источник: fstec
CVSS3: 6.8
CVSS2: 7.2
EPSS Низкий

Описание

Уязвимость функции parse_hid_report_descriptor() ядра операционной системы Linux связана с записью за границами буфера во время генерации сообщений отладки. Эксплуатация уязвимости может позволить нарушителю оказать воздействие на целостность данных, получить несанкционированный доступ к защищаемой информации, а также вызвать отказ в обслуживании при помощи специально созданного вредоносного USB-устройства, которое может отправить HID-отчет злоумышленнику

Вендор

Canonical Ltd.
Сообщество свободного программного обеспечения

Наименование ПО

Ubuntu
Debian GNU/Linux
Linux

Версия ПО

16.04 LTS (Ubuntu)
9 (Debian GNU/Linux)
18.04 LTS (Ubuntu)
8.0 (Debian GNU/Linux)
19.04 (Ubuntu)
от 4.0 до 4.4.186 включительно (Linux)
от 4.5 до 4.9.186 включительно (Linux)
от 4.20 до 5.1.19 включительно (Linux)
от 5.2.0 до 5.2.2 включительно (Linux)
от 4.15 до 4.19.60 включительно (Linux)
от 4.10 до 4.14.134 включительно (Linux)

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

Canonical Ltd. Ubuntu 16.04 LTS
Сообщество свободного программного обеспечения Debian GNU/Linux 9
Canonical Ltd. Ubuntu 18.04 LTS
Сообщество свободного программного обеспечения Debian GNU/Linux 8.0
Canonical Ltd. Ubuntu 19.04

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,2)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,8)

Возможные меры по устранению уязвимости

Для linux:
https://patchwork.kernel.org/patch/11040813/https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.135
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.61
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.4.187
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.187
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.1.20
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.2.3
Для Debian:
Обновление программного обеспечения(пакета linux) до 4.9.168-1+deb9u5 или более поздней версии
Для Ubuntu:
https://usn.ubuntu.com/4115-1/
https://usn.ubuntu.com/4118-1/
https://usn.ubuntu.com/4145-1/
https://usn.ubuntu.com/4147-1/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 3%
0.00019
Низкий

6.8 Medium

CVSS3

7.2 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2019-13631

CVSS3: 6.8
ubuntu
около 6 лет назад

In parse_hid_report_descriptor in drivers/input/tablet/gtco.c in the Linux kernel through 5.2.1, a malicious USB device can send an HID report that triggers an out-of-bounds write during generation of debugging messages.

redhat логотип

CVE-2019-13631

CVSS3: 5.3
redhat
около 6 лет назад

In parse_hid_report_descriptor in drivers/input/tablet/gtco.c in the Linux kernel through 5.2.1, a malicious USB device can send an HID report that triggers an out-of-bounds write during generation of debugging messages.

nvd логотип

CVE-2019-13631

CVSS3: 6.8
nvd
около 6 лет назад

In parse_hid_report_descriptor in drivers/input/tablet/gtco.c in the Linux kernel through 5.2.1, a malicious USB device can send an HID report that triggers an out-of-bounds write during generation of debugging messages.

debian логотип

CVE-2019-13631

CVSS3: 6.8
debian
около 6 лет назад

In parse_hid_report_descriptor in drivers/input/tablet/gtco.c in the L ...

github логотип

GHSA-vf49-33fx-342v

CVSS3: 6.8
github
около 3 лет назад

In parse_hid_report_descriptor in drivers/input/tablet/gtco.c in the Linux kernel through 5.2.1, a malicious USB device can send an HID report that triggers an out-of-bounds write during generation of debugging messages.

EPSS

Процентиль: 3%
0.00019
Низкий

6.8 Medium

CVSS3

7.2 High

CVSS2