BDU:2020-01379

Опубликовано: 04 сент. 2019

Источник: fstec

CVSS3: 8.8

CVSS2: 9.3

EPSS Низкий

Описание

Уязвимость модуля отображения WebKit связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код при помощи специально сформированной веб-страницы

Вендор

Сообщество свободного программного обеспечения

Novell Inc.

Apple Inc.

Наименование ПО

Debian GNU/Linux

Suse Linux Enterprise Desktop

SUSE Enterprise Storage

SUSE Linux Enterprise Server for SAP Applications

SUSE Linux Enterprise Software Development Kit

SUSE Linux Enterprise Workstation Extension

SUSE OpenStack Cloud

SUSE Linux Enterprise Module for Open Buildservice Development Tools

Suse Linux Enterprise Server

SUSE Linux Enterprise Module for Basesystem

OpenSUSE Leap

SUSE Linux Enterprise Module for Desktop Applications

SUSE Linux Enterprise Point of Sale

SUSE OpenStack Cloud Crowbar

HPE Helion Openstack

SUSE Linux Enterprise High Performance Computing

iOS

tvOS

iTunes for Windows

iCloud for Windows

Safari

Mac OS

WebKitGTK

Версия ПО

9 (Debian GNU/Linux)

12 SP4 (Suse Linux Enterprise Desktop)

4 (SUSE Enterprise Storage)

12 SP2 (SUSE Linux Enterprise Server for SAP Applications)

12 SP2-BCL (SUSE Linux Enterprise Server for SAP Applications)

12 SP2-ESPOS (SUSE Linux Enterprise Server for SAP Applications)

12 SP2-LTSS (SUSE Linux Enterprise Server for SAP Applications)

12 SP3 (SUSE Linux Enterprise Server for SAP Applications)

12 SP4 (SUSE Linux Enterprise Server for SAP Applications)

12 SP4 (SUSE Linux Enterprise Software Development Kit)

12 SP4 (SUSE Linux Enterprise Workstation Extension)

7 (SUSE OpenStack Cloud)

8.0 (Debian GNU/Linux)

15 (SUSE Linux Enterprise Module for Open Buildservice Development Tools)

12 SP4 (Suse Linux Enterprise Server)

15 (SUSE Linux Enterprise Module for Basesystem)

15 SP1 (SUSE Linux Enterprise Module for Basesystem)

15.0 (OpenSUSE Leap)

5 (SUSE Enterprise Storage)

15 (SUSE Linux Enterprise Module for Desktop Applications)

12 SP2-CLIENT (SUSE Linux Enterprise Point of Sale)

15 SP1 (SUSE Linux Enterprise Module for Desktop Applications)

12 SP2-BCL (Suse Linux Enterprise Server)

12 SP2-ESPOS (Suse Linux Enterprise Server)

15 SP1 (SUSE Linux Enterprise Module for Open Buildservice Development Tools)

15.1 (OpenSUSE Leap)

12 SP2-LTSS (Suse Linux Enterprise Server)

12 SP3-LTSS (Suse Linux Enterprise Server)

8 (SUSE OpenStack Cloud)

12 SP3-BCL (Suse Linux Enterprise Server)

12 SP3-BCL (SUSE Linux Enterprise Server for SAP Applications)

12 SP3-LTSS (SUSE Linux Enterprise Server for SAP Applications)

12 SP5 (SUSE Linux Enterprise Server for SAP Applications)

12 SP5 (SUSE Linux Enterprise Software Development Kit)

8 (SUSE OpenStack Cloud Crowbar)

10 (Debian GNU/Linux)

8 (HPE Helion Openstack)

12 SP3-ESPOS (Suse Linux Enterprise Server)

12 SP3-ESPOS (SUSE Linux Enterprise Server for SAP Applications)

12 SP5 (SUSE Linux Enterprise High Performance Computing)

до 12.4 (iOS)

до 12.4 (tvOS)

до 12.9.6 (iTunes for Windows)

до 7.13 (iCloud for Windows)

от 10.0 до 10.6 (iCloud for Windows)

до 12.1.2 (Safari)

Mojave 10.14.6 (Mac OS)

до 2.26.1-3 (WebKitGTK)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9

Сообщество свободного программного обеспечения Debian GNU/Linux 8.0

Novell Inc. OpenSUSE Leap 15.0

Novell Inc. OpenSUSE Leap 15.1

Сообщество свободного программного обеспечения Debian GNU/Linux 10

Apple Inc. iOS до 12.4

Apple Inc. tvOS до 12.4

Apple Inc. Mac OS Mojave 10.14.6

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,3)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:

Для webkit2gtk:

Обновление программного обеспечения до 2.26.1-3~deb10u1 или более поздней версии

Для Debian GNU/Linux:

https://www.debian.org/security/2019/dsa-4515

Для программных продуктов Novell Inc.:

https://www.suse.com/security/cve/CVE-2019-8687/

Для программных продуктов Apple Inc.:

https://support.apple.com/HT210346

https://support.apple.com/HT210348

https://support.apple.com/HT210351

https://support.apple.com/HT210355

https://support.apple.com/HT210356

https://support.apple.com/HT210357

https://support.apple.com/HT210358

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2019-8687
CVE

EPSS

Процентиль: 73%

0.00811

Низкий

8.8 High

CVSS3

9.3 Critical

CVSS2

Связанные уязвимости

CVE-2019-8687

CVSS3: 8.8

ubuntu

больше 5 лет назад

Multiple memory corruption issues were addressed with improved memory handling. This issue is fixed in iOS 12.4, macOS Mojave 10.14.6, tvOS 12.4, Safari 12.1.2, iTunes for Windows 12.9.6, iCloud for Windows 7.13, iCloud for Windows 10.6. Processing maliciously crafted web content may lead to arbitrary code execution.

CVE-2019-8687

CVSS3: 8.8

redhat

почти 6 лет назад

CVE-2019-8687

CVSS3: 8.8

nvd

больше 5 лет назад

CVE-2019-8687

CVSS3: 8.8

debian

больше 5 лет назад

Multiple memory corruption issues were addressed with improved memory ...

GHSA-h25q-f2xx-869f

github

около 3 лет назад

EPSS

Процентиль: 73%

0.00811

Низкий

8.8 High

CVSS3

9.3 Critical

CVSS2