Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2020-01339

Опубликовано: 22 нояб. 2019
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость компонента RFC3490 библиотеки Libidn2 существует из-за недостаточной проверки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, создать вредоносный домен, который соответствует целевому домену

Вендор

Canonical Ltd.
Fedora Project
Novell Inc.
Сообщество свободного программного обеспечения
ООО «РусБИТех-Астра»
АО "НППКТ"

Наименование ПО

Ubuntu
Fedora
OpenSUSE Leap
Libidn2
Astra Linux Special Edition
ОСОН ОСнова Оnyx

Версия ПО

18.04 LTS (Ubuntu)
29 (Fedora)
19.04 (Ubuntu)
15.0 (OpenSUSE Leap)
15.1 (OpenSUSE Leap)
30 (Fedora)
31 (Fedora)
до 2.2.0 (Libidn2)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
до 2.1 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Canonical Ltd. Ubuntu 18.04 LTS
Fedora Project Fedora 29
Canonical Ltd. Ubuntu 19.04
Novell Inc. OpenSUSE Leap 15.0
Novell Inc. OpenSUSE Leap 15.1
Fedora Project Fedora 30
Fedora Project Fedora 31
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для GNU libidn2:
https://gitlab.com/libidn/libidn2/commit/241e8f486134793cb0f4a5b0e5817a97883401f5
https://gitlab.com/libidn/libidn2/-/merge_requests/71
Для программных продуктов Novell Inc.:
http://lists.opensuse.org/opensuse-security-announce/2019-12/msg00008.html
http://lists.opensuse.org/opensuse-security-announce/2019-12/msg00009.html
Для Ubuntu:
https://usn.ubuntu.com/4168-1/
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/3UFT76Y7OSGPZV3EBEHD6ISVUM3DLARM/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/KXDKYWFV6N2HHVSE67FFDM7G3FEL2ZNE/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ONG3GJRRJO35COPGVJXXSZLU4J5Y42AT/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/RSI4TI2JTQWQ3YEUX5X36GTVGKO4QKZ5/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/U6ZXL2RDNQRAHCMKWPOMJFKYJ344X4HL/
Для ОСОН Основа:
Обновление программного обеспечения libidn2 до версии 2.0.5-1+deb10u1.osnova1
Для ОС Astra Linux Special Edition 1.7:
обновить пакет libidn2 до 2.0.5-1+deb10u1+ci202308141422+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17
Для Astra Linux Special Edition 4.7:
обновить пакет libidn2 до 2.0.5-1+deb10u1+ci202308141422+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 86%
0.02892
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2019-12290

CVSS3: 7.5
ubuntu
больше 6 лет назад

GNU libidn2 before 2.2.0 fails to perform the roundtrip checks specified in RFC3490 Section 4.2 when converting A-labels to U-labels. This makes it possible in some circumstances for one domain to impersonate another. By creating a malicious domain that matches a target domain except for the inclusion of certain punycoded Unicode characters (that would be discarded when converted first to a Unicode label and then back to an ASCII label), arbitrary domains can be impersonated.

nvd логотип

CVE-2019-12290

CVSS3: 7.5
nvd
больше 6 лет назад

GNU libidn2 before 2.2.0 fails to perform the roundtrip checks specified in RFC3490 Section 4.2 when converting A-labels to U-labels. This makes it possible in some circumstances for one domain to impersonate another. By creating a malicious domain that matches a target domain except for the inclusion of certain punycoded Unicode characters (that would be discarded when converted first to a Unicode label and then back to an ASCII label), arbitrary domains can be impersonated.

debian логотип

CVE-2019-12290

CVSS3: 7.5
debian
больше 6 лет назад

GNU libidn2 before 2.2.0 fails to perform the roundtrip checks specifi ...

github логотип

GHSA-5pjp-55fh-7frw

CVSS3: 7.5
github
больше 3 лет назад

GNU libidn2 before 2.2.0 fails to perform the roundtrip checks specified in RFC3490 Section 4.2 when converting A-labels to U-labels. This makes it possible in some circumstances for one domain to impersonate another. By creating a malicious domain that matches a target domain except for the inclusion of certain punycoded Unicode characters (that would be discarded when converted first to a Unicode label and then back to an ASCII label), arbitrary domains can be impersonated.

suse-cvrf логотип

openSUSE-SU-2019:2613-1

suse-cvrf
около 6 лет назад

Security update for libidn2

EPSS

Процентиль: 86%
0.02892
Низкий

7.5 High

CVSS3

7.8 High

CVSS2