Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-04788

Опубликовано: 28 нояб. 2019
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость функции из marvell/mwifiex/tdls.c драйвера Marvell WiFi ядра операционной системы Linux связана с записью за границы буфера памяти. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Вендор

Red Hat Inc.
Canonical Ltd.
ООО «РусБИТех-Астра»
Сообщество свободного программного обеспечения
Novell Inc.
Fedora Project
АО «Концерн ВНИИНС»

Наименование ПО

Red Hat Enterprise Linux
Ubuntu
Astra Linux Special Edition
Debian GNU/Linux
Red Hat Enterprise MRG
OpenSUSE Leap
Fedora
Astra Linux Special Edition для «Эльбрус»
ОС ОН «Стрелец»
Linux

Версия ПО

7 (Red Hat Enterprise Linux)
16.04 LTS (Ubuntu)
1.5 «Смоленск» (Astra Linux Special Edition)
9 (Debian GNU/Linux)
18.04 LTS (Ubuntu)
1.6 «Смоленск» (Astra Linux Special Edition)
8.0 (Debian GNU/Linux)
2.0 (Red Hat Enterprise MRG)
8 (Red Hat Enterprise Linux)
15.1 (OpenSUSE Leap)
30 (Fedora)
14.04 ESM (Ubuntu)
10 (Debian GNU/Linux)
31 (Fedora)
19.10 (Ubuntu)
8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
8.0 Update Services for SAP Solutions (Red Hat Enterprise Linux)
до 16.01.2023 (ОС ОН «Стрелец»)
от 4.0 до 4.4.216 включительно (Linux)
от 4.5 до 4.9.216 включительно (Linux)
от 4.10 до 4.14.163 включительно (Linux)
от 4.15 до 4.19.94 включительно (Linux)
от 4.20 до 5.4.10 включительно (Linux)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 7
Canonical Ltd. Ubuntu 16.04 LTS
Canonical Ltd. Ubuntu 18.04 LTS
Red Hat Inc. Red Hat Enterprise MRG 2.0
Red Hat Inc. Red Hat Enterprise Linux 8
Novell Inc. OpenSUSE Leap 15.1
Fedora Project Fedora 30
Canonical Ltd. Ubuntu 14.04 ESM
Fedora Project Fedora 31
Canonical Ltd. Ubuntu 19.10
Сообщество свободного программного обеспечения Linux от 3.0 до 4.18
ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»
Red Hat Inc. Red Hat Enterprise Linux 8.0 Update Services for SAP Solutions
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Linux:
https://patchwork.kernel.org/patch/11257535/
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.164
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.95
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.4.217
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.217
https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.11
Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2019-12/msg00029.html
Для Debian:
Обновление программного обеспечения (пакета linux) до 3.16.81-1 или более поздней версии
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/D4ISVNIC44SOGXTUBCIZFSUNQJ5LRKNZ/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/MN6MLCN7G7VFTSXSZYXKXEFCUMFBUAXQ/
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2019-14901
Для Ubuntu:
https://usn.ubuntu.com/4225-1/
https://usn.ubuntu.com/4225-2/
https://usn.ubuntu.com/4226-1/
https://usn.ubuntu.com/4227-1/
https://usn.ubuntu.com/4227-2/
https://usn.ubuntu.com/4228-1/
https://usn.ubuntu.com/4228-2/
Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20200327SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20200429SE81
https://wiki.astralinux.ru/astra-linux-se15-bulletin-20201201SE15
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
Для ОС ОН «Стрелец»:
Обновление программного обеспечения linux до версии 5.4.123-1~bpo10+1.osnova162.strelets

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 90%
0.06097
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2019-14901

CVSS3: 9.8
ubuntu
больше 5 лет назад

A heap overflow flaw was found in the Linux kernel, all versions 3.x.x and 4.x.x before 4.18.0, in Marvell WiFi chip driver. The vulnerability allows a remote attacker to cause a system crash, resulting in a denial of service, or execute arbitrary code. The highest threat with this vulnerability is with the availability of the system. If code execution occurs, the code will run with the permissions of root. This will affect both confidentiality and integrity of files on the system.

redhat логотип

CVE-2019-14901

CVSS3: 8.8
redhat
больше 5 лет назад

A heap overflow flaw was found in the Linux kernel, all versions 3.x.x and 4.x.x before 4.18.0, in Marvell WiFi chip driver. The vulnerability allows a remote attacker to cause a system crash, resulting in a denial of service, or execute arbitrary code. The highest threat with this vulnerability is with the availability of the system. If code execution occurs, the code will run with the permissions of root. This will affect both confidentiality and integrity of files on the system.

nvd логотип

CVE-2019-14901

CVSS3: 9.8
nvd
больше 5 лет назад

A heap overflow flaw was found in the Linux kernel, all versions 3.x.x and 4.x.x before 4.18.0, in Marvell WiFi chip driver. The vulnerability allows a remote attacker to cause a system crash, resulting in a denial of service, or execute arbitrary code. The highest threat with this vulnerability is with the availability of the system. If code execution occurs, the code will run with the permissions of root. This will affect both confidentiality and integrity of files on the system.

debian логотип

CVE-2019-14901

CVSS3: 9.8
debian
больше 5 лет назад

A heap overflow flaw was found in the Linux kernel, all versions 3.x.x ...

github логотип

GHSA-6mpr-24px-gq7m

CVSS3: 9.8
github
около 3 лет назад

A heap overflow flaw was found in the Linux kernel, all versions 3.x.x and 4.x.x before 4.18.0, in Marvell WiFi chip driver. The vulnerability allows a remote attacker to cause a system crash, resulting in a denial of service, or execute arbitrary code. The highest threat with this vulnerability is with the availability of the system. If code execution occurs, the code will run with the permissions of root. This will affect both confidentiality and integrity of files on the system.

EPSS

Процентиль: 90%
0.06097
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2