BDU:2020-01507

Опубликовано: 18 дек. 2019

Источник: fstec

CVSS3: 6.1

CVSS2: 5.8

EPSS Низкий

Описание

Уязвимость модуля отображения WebKit операционных систем openSUSE Leap, Mac OS X, iOS, tvOS,watchOS, браузера Safari, мультимедийного проигрывателя iTunes и сервиса iCloud связана с переполнением буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, провести атаку типа «межсайтовый скриптинг» с помощью специально созданного веб-сайта

Вендор

Сообщество свободного программного обеспечения

Novell Inc.

Apple Inc.

Наименование ПО

Debian GNU/Linux

Suse Linux Enterprise Desktop

SUSE Enterprise Storage

SUSE Linux Enterprise Server for SAP Applications

SUSE Linux Enterprise Software Development Kit

SUSE Linux Enterprise Workstation Extension

SUSE OpenStack Cloud

SUSE Linux Enterprise Module for Open Buildservice Development Tools

Suse Linux Enterprise Server

SUSE Linux Enterprise Module for Basesystem

OpenSUSE Leap

SUSE Linux Enterprise Module for Desktop Applications

SUSE Linux Enterprise Point of Sale

HPE Helion Openstack

SUSE Linux Enterprise High Performance Computing

iOS

Mac OS

tvOS

watchOS

Safari

iTunes

iCloud

WPE WebKit

WebKitGTK

Версия ПО

9 (Debian GNU/Linux)

12 SP4 (Suse Linux Enterprise Desktop)

4 (SUSE Enterprise Storage)

12 SP2 (SUSE Linux Enterprise Server for SAP Applications)

12 SP2-BCL (SUSE Linux Enterprise Server for SAP Applications)

12 SP2-ESPOS (SUSE Linux Enterprise Server for SAP Applications)

12 SP2-LTSS (SUSE Linux Enterprise Server for SAP Applications)

12 SP3 (SUSE Linux Enterprise Server for SAP Applications)

12 SP4 (SUSE Linux Enterprise Server for SAP Applications)

12 SP4 (SUSE Linux Enterprise Software Development Kit)

12 SP4 (SUSE Linux Enterprise Workstation Extension)

7 (SUSE OpenStack Cloud)

8.0 (Debian GNU/Linux)

15 (SUSE Linux Enterprise Module for Open Buildservice Development Tools)

12 SP3 (Suse Linux Enterprise Server)

12 SP4 (Suse Linux Enterprise Server)

15 (SUSE Linux Enterprise Module for Basesystem)

15 SP1 (SUSE Linux Enterprise Module for Basesystem)

15.0 (OpenSUSE Leap)

5 (SUSE Enterprise Storage)

15 (SUSE Linux Enterprise Module for Desktop Applications)

12 SP2-CLIENT (SUSE Linux Enterprise Point of Sale)

15 SP1 (SUSE Linux Enterprise Module for Desktop Applications)

12 SP2-BCL (Suse Linux Enterprise Server)

12 SP2-ESPOS (Suse Linux Enterprise Server)

15 SP1 (SUSE Linux Enterprise Module for Open Buildservice Development Tools)

15.1 (OpenSUSE Leap)

12 SP2-LTSS (Suse Linux Enterprise Server)

12 SP3-LTSS (Suse Linux Enterprise Server)

8 (SUSE OpenStack Cloud)

12 SP3-BCL (Suse Linux Enterprise Server)

12 SP5 (Suse Linux Enterprise Server)

12 SP3-BCL (SUSE Linux Enterprise Server for SAP Applications)

12 SP3-LTSS (SUSE Linux Enterprise Server for SAP Applications)

12 SP5 (SUSE Linux Enterprise Server for SAP Applications)

12 SP5 (SUSE Linux Enterprise Software Development Kit)

Crowbar 8 (SUSE OpenStack Cloud)

10 (Debian GNU/Linux)

8 (HPE Helion Openstack)

12 SP3-ESPOS (Suse Linux Enterprise Server)

12 SP3-ESPOS (SUSE Linux Enterprise Server for SAP Applications)

12 SP5 (SUSE Linux Enterprise High Performance Computing)

до 12.4 (iOS)

Mojave до 10.14.6 (Mac OS)

до 12.4 (tvOS)

до 5.3 (watchOS)

до 12.1.2 (Safari)

до 12.9.6 (iTunes)

до 7.13 (iCloud)

до 10.6 (iCloud)

до 2.24.3 (WPE WebKit)

до 2.24.4 (WebKitGTK)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Сетевое программное средство

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9

Сообщество свободного программного обеспечения Debian GNU/Linux 8.0

Novell Inc. OpenSUSE Leap 15.0

Novell Inc. OpenSUSE Leap 15.1

Сообщество свободного программного обеспечения Debian GNU/Linux 10

Apple Inc. iOS до 12.4

Apple Inc. Mac OS Mojave до 10.14.6

Apple Inc. tvOS до 12.4

Apple Inc. watchOS до 5.3

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,8)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Для WebKitGTK и WPE WebKit:

https://webkitgtk.org/security/WSA-2019-0004.html

Для программных средств и операционных систем Apple:

https://support.apple.com/HT210346

https://support.apple.com/HT210353

https://support.apple.com/HT210348

https://support.apple.com/HT210351

https://support.apple.com/HT210355

https://support.apple.com/HT210356

https://support.apple.com/HT210357

https://support.apple.com/HT210358

Для Debian GNU/Linux:

https://www.debian.org/security/2019/dsa-4515

Для программных продуктов Novell Inc.:

https://www.suse.com/security/cve/CVE-2019-8658/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2019-8658
CVE

EPSS

Процентиль: 75%

0.00919

Низкий

6.1 Medium

CVSS3

5.8 Medium

CVSS2

Связанные уязвимости

CVE-2019-8658

CVSS3: 6.1

ubuntu

больше 5 лет назад

A logic issue was addressed with improved state management. This issue is fixed in iOS 12.4, macOS Mojave 10.14.6, tvOS 12.4, watchOS 5.3, Safari 12.1.2, iTunes for Windows 12.9.6, iCloud for Windows 7.13, iCloud for Windows 10.6. Processing maliciously crafted web content may lead to universal cross site scripting.

CVE-2019-8658

CVSS3: 6.1

redhat

почти 6 лет назад

CVE-2019-8658

CVSS3: 6.1

nvd

больше 5 лет назад

CVE-2019-8658

CVSS3: 6.1

debian

больше 5 лет назад

A logic issue was addressed with improved state management. This issue ...

GHSA-5j7q-h2rg-wcc4

github

около 3 лет назад

EPSS

Процентиль: 75%

0.00919

Низкий

6.1 Medium

CVSS3

5.8 Medium

CVSS2