Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-04539

Опубликовано: 11 сент. 2019
Источник: fstec
CVSS3: 9.8
CVSS2: 7.5
EPSS Средний

Описание

Уязвимость функции tftp_receive_packet библиотеки libcurl связана с переполнением буфера в динамической памяти. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Вендор

Сообщество свободного программного обеспечения
Oracle Corp.
ООО «РусБИТех-Астра»
Fedora Project
Novell Inc.
Дэниел Стенберг
ООО «Ред Софт»
АО «Концерн ВНИИНС»

Наименование ПО

Debian GNU/Linux
Enterprise Manager Ops Center
Astra Linux Special Edition
Fedora
HTTP Server
OpenSUSE Leap
Libcurl
РЕД ОС
Astra Linux Special Edition для «Эльбрус»
Oracle Communications Session Border Controller
MySQL Server
Communications Operations Monitor
OSS Support Tools
Hyperion Essbase
MySQL Cluster
ОС ОН «Стрелец»

Версия ПО

9 (Debian GNU/Linux)
12.3.3 (Enterprise Manager Ops Center)
1.6 «Смоленск» (Astra Linux Special Edition)
8.0 (Debian GNU/Linux)
29 (Fedora)
12.2.1.3.0 (HTTP Server)
15.0 (OpenSUSE Leap)
15.1 (OpenSUSE Leap)
30 (Fedora)
12.4.0 (Enterprise Manager Ops Center)
10 (Debian GNU/Linux)
31 (Fedora)
от 7.19.4 до 7.65.3 включительно (Libcurl)
до 7.2 Муром (РЕД ОС)
8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
8.3 (Oracle Communications Session Border Controller)
до 8.0.18 включительно (MySQL Server)
12.2.1.4.0 (HTTP Server)
3.4.0 (Communications Operations Monitor)
4.0.0 (Communications Operations Monitor)
4.1.0 (Communications Operations Monitor)
4.2.0 (Communications Operations Monitor)
4.3.0 (Communications Operations Monitor)
20.0 (OSS Support Tools)
до 5.7.28 включительно (MySQL Server)
11.1.2.4 (Hyperion Essbase)
8.4 (Oracle Communications Session Border Controller)
от 7.3.0 до 7.3.30 включительно (MySQL Cluster)
от 7.4.0 до 7.4.29 включительно (MySQL Cluster)
от 7.5.0 до 7.5.19 включительно (MySQL Cluster)
от 7.6.0 до 7.6.15 включительно (MySQL Cluster)
от 8.0.0 до 8.0.21 включительно (MySQL Cluster)
1.0 (ОС ОН «Стрелец»)
до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система
Сетевое программное средство
Прикладное ПО информационных систем
СУБД

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Сообщество свободного программного обеспечения Debian GNU/Linux 8.0
Fedora Project Fedora 29
Novell Inc. OpenSUSE Leap 15.0
Novell Inc. OpenSUSE Leap 15.0
Novell Inc. OpenSUSE Leap 15.1
Fedora Project Fedora 30
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Fedora Project Fedora 31
ООО «Ред Софт» РЕД ОС до 7.2 Муром
ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»
АО «Концерн ВНИИНС» ОС ОН «Стрелец» 1.0
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Libcurl:
https://curl.haxx.se/docs/CVE-2019-5482.html
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/6CI4QQ2RSZX4VCFM76SIWGKY6BY7UWIC/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/RGDVKSLY5JUNJRLYRUA6CXGQ2LM63XC3/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/UA7KDM2WPM5CJDDGOEGFV6SSGD2J7RNT/
Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2019-09/msg00048.html
https://lists.opensuse.org/opensuse-security-announce/2019-09/msg00055.html
Для РЕД ОС:
Обновление операционной системы до версии 7.2 Муром
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2020.html
https://www.oracle.com/security-alerts/cpuapr2020.html
https://www.oracle.com/security-alerts/cpuoct2020.html
Для Debian:
Использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2019-5482
Для Astra Linux:
Использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
Для ОС ОН «Стрелец»:
Обновление программного обеспечения curl до версии 7.52.1-5+deb9u16

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 93%
0.10791
Средний

9.8 Critical

CVSS3

7.5 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2019-5482

CVSS3: 9.8
ubuntu
почти 6 лет назад

Heap buffer overflow in the TFTP protocol handler in cURL 7.19.4 to 7.65.3.

redhat логотип

CVE-2019-5482

CVSS3: 6.3
redhat
почти 6 лет назад

Heap buffer overflow in the TFTP protocol handler in cURL 7.19.4 to 7.65.3.

nvd логотип

CVE-2019-5482

CVSS3: 9.8
nvd
почти 6 лет назад

Heap buffer overflow in the TFTP protocol handler in cURL 7.19.4 to 7.65.3.

debian логотип

CVE-2019-5482

CVSS3: 9.8
debian
почти 6 лет назад

Heap buffer overflow in the TFTP protocol handler in cURL 7.19.4 to 7. ...

suse-cvrf логотип

SUSE-SU-2019:2339-2

suse-cvrf
почти 6 лет назад

Security update for curl

EPSS

Процентиль: 93%
0.10791
Средний

9.8 Critical

CVSS3

7.5 High

CVSS2