Описание
Уязвимость функции в exec/totemcrypto.c системы группового общения для отказоустойчивых кластеров corosync вызвана целочисленным переполнением. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
Вендор
Red Hat Inc.
Canonical Ltd.
Сообщество свободного программного обеспечения
Novell Inc.
The Corosync Development Community
Наименование ПО
Red Hat Enterprise Linux
Ubuntu
Debian GNU/Linux
OpenSUSE Leap
SUSE Linux Enterprise Software Development Kit
SUSE Linux Enterprise High Availability
corosync
Версия ПО
7 (Red Hat Enterprise Linux)
16.04 LTS (Ubuntu)
9 (Debian GNU/Linux)
42.3 (OpenSUSE Leap)
18.04 LTS (Ubuntu)
12 SP3 (SUSE Linux Enterprise Software Development Kit)
12 SP4 (SUSE Linux Enterprise Software Development Kit)
12 SP2 (SUSE Linux Enterprise High Availability)
12 SP3 (SUSE Linux Enterprise High Availability)
12 SP4 (SUSE Linux Enterprise High Availability)
15 (SUSE Linux Enterprise High Availability)
15 SP1 (SUSE Linux Enterprise High Availability)
12 SP5 (SUSE Linux Enterprise Software Development Kit)
12 SP5 (SUSE Linux Enterprise High Availability)
до 2.4.4 (corosync)
Тип ПО
Операционная система
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Red Hat Inc. Red Hat Enterprise Linux 7
Canonical Ltd. Ubuntu 16.04 LTS
Сообщество свободного программного обеспечения Debian GNU/Linux 9
Novell Inc. OpenSUSE Leap 42.3
Canonical Ltd. Ubuntu 18.04 LTS
Уровень опасности уязвимости
Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для corosync:
Обновление системы группового общения для отказоустойчивых кластеров Corosync до более новой версии
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/errata/RHSA-2018:1169
Для Debian GNU/Linux:
https://www.debian.org/security/2018/dsa-4174
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2018-1084/
Для Ubuntu:
https://usn.ubuntu.com/4000-1/
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 73%
0.008
Низкий
9.8 Critical
CVSS3
10 Critical
CVSS2
Связанные уязвимости
CVSS3: 7.5
ubuntu
больше 7 лет назад
corosync before version 2.4.4 is vulnerable to an integer overflow in exec/totemcrypto.c.
CVSS3: 7.5
redhat
больше 7 лет назад
corosync before version 2.4.4 is vulnerable to an integer overflow in exec/totemcrypto.c.
CVSS3: 7.5
nvd
больше 7 лет назад
corosync before version 2.4.4 is vulnerable to an integer overflow in exec/totemcrypto.c.
CVSS3: 7.5
debian
больше 7 лет назад
corosync before version 2.4.4 is vulnerable to an integer overflow in ...
EPSS
Процентиль: 73%
0.008
Низкий
9.8 Critical
CVSS3
10 Critical
CVSS2