Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2020-01716

Опубликовано: 10 янв. 2019
Источник: fstec
CVSS3: 6.3
CVSS2: 6.8
EPSS Низкий

Описание

Уязвимость перекрестного запроса«CSRF» программы для шифрования информации и создания электронных цифровых подписей GNU Privacy Guard (GnuPG) связана с недостатками обработки запросов на авторизацию приложений. Эксплуатация уязвимости может позволить нарушителю совершить атаку типа отказ в обслуживании

Вендор

Canonical Ltd.
Red Hat Inc.
Сообщество свободного программного обеспечения
Novell Inc.
Wind River Systems, Inc.

Наименование ПО

Ubuntu
Red Hat Enterprise Linux
Debian GNU/Linux
OpenSUSE Leap
SUSE Linux Enterprise Module for Basesystem
GnuPG
Wind River Linux

Версия ПО

12.04 LTS (Ubuntu)
5 (Red Hat Enterprise Linux)
6 (Red Hat Enterprise Linux)
7 (Red Hat Enterprise Linux)
9 (Debian GNU/Linux)
18.04 LTS (Ubuntu)
18.10 (Ubuntu)
8.0 (Debian GNU/Linux)
8 (Red Hat Enterprise Linux)
15.0 (OpenSUSE Leap)
15 (SUSE Linux Enterprise Module for Basesystem)
15 SP1 (SUSE Linux Enterprise Module for Basesystem)
14.04 ESM (Ubuntu)
10 (Debian GNU/Linux)
от 2.1.12 до 2.2.11 (GnuPG)
LTS 17 (Wind River Linux)
LTS 18 (Wind River Linux)
7 (Wind River Linux)
8 (Wind River Linux)
9 (Wind River Linux)

Тип ПО

Операционная система
Прикладное ПО информационных систем
Программное средство защиты

Операционные системы и аппаратные платформы

Canonical Ltd. Ubuntu 12.04 LTS
Red Hat Inc. Red Hat Enterprise Linux 5
Red Hat Inc. Red Hat Enterprise Linux 6
Red Hat Inc. Red Hat Enterprise Linux 7
Сообщество свободного программного обеспечения Debian GNU/Linux 9
Canonical Ltd. Ubuntu 18.04 LTS
Canonical Ltd. Ubuntu 18.10
Сообщество свободного программного обеспечения Debian GNU/Linux 8.0
Red Hat Inc. Red Hat Enterprise Linux 8
Novell Inc. OpenSUSE Leap 15.0
Canonical Ltd. Ubuntu 14.04 ESM
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Wind River Systems, Inc. Wind River Linux LTS 17
Wind River Systems, Inc. Wind River Linux LTS 18
Wind River Systems, Inc. Wind River Linux 7
Wind River Systems, Inc. Wind River Linux 8
Wind River Systems, Inc. Wind River Linux 9

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Ubuntu:
https://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-1000858.html?_ga=2.141049780.741250733.1547465466-1585452189.1547465466
https://usn.ubuntu.com/3853-1/
Для Debian:
https://security-tracker.debian.org/tracker/CVE-2018-1000858
Для SUSE:
https://www.suse.com/security/cve/CVE-2018-1000858/
Для Red Hat:
https://access.redhat.com/security/cve/CVE-2018-1000858
Для Wind River:
https://support2.windriver.com/index.php?page=cve&on=view&id=CVE-2018-1000858
Для GnuPG:
https://sektioneins.de/en/advisories/advisory-012018-gnupg-wkd.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 33%
0.00126
Низкий

6.3 Medium

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2018-1000858

CVSS3: 8.8
ubuntu
больше 6 лет назад

GnuPG version 2.1.12 - 2.2.11 contains a Cross ite Request Forgery (CSRF) vulnerability in dirmngr that can result in Attacker controlled CSRF, Information Disclosure, DoS. This attack appear to be exploitable via Victim must perform a WKD request, e.g. enter an email address in the composer window of Thunderbird/Enigmail. This vulnerability appears to have been fixed in after commit 4a4bb874f63741026bd26264c43bb32b1099f060.

redhat логотип

CVE-2018-1000858

CVSS3: 5.4
redhat
больше 6 лет назад

GnuPG version 2.1.12 - 2.2.11 contains a Cross ite Request Forgery (CSRF) vulnerability in dirmngr that can result in Attacker controlled CSRF, Information Disclosure, DoS. This attack appear to be exploitable via Victim must perform a WKD request, e.g. enter an email address in the composer window of Thunderbird/Enigmail. This vulnerability appears to have been fixed in after commit 4a4bb874f63741026bd26264c43bb32b1099f060.

nvd логотип

CVE-2018-1000858

CVSS3: 8.8
nvd
больше 6 лет назад

GnuPG version 2.1.12 - 2.2.11 contains a Cross ite Request Forgery (CSRF) vulnerability in dirmngr that can result in Attacker controlled CSRF, Information Disclosure, DoS. This attack appear to be exploitable via Victim must perform a WKD request, e.g. enter an email address in the composer window of Thunderbird/Enigmail. This vulnerability appears to have been fixed in after commit 4a4bb874f63741026bd26264c43bb32b1099f060.

debian логотип

CVE-2018-1000858

CVSS3: 8.8
debian
больше 6 лет назад

GnuPG version 2.1.12 - 2.2.11 contains a Cross ite Request Forgery (CS ...

suse-cvrf логотип

openSUSE-SU-2019:0020-1

suse-cvrf
около 6 лет назад

Security update for gpg2

EPSS

Процентиль: 33%
0.00126
Низкий

6.3 Medium

CVSS3

6.8 Medium

CVSS2