Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2020-02755

Опубликовано: 24 нояб. 2018
Источник: fstec
CVSS3: 7.4
CVSS2: 8.8
EPSS Низкий

Описание

Уязвимость функции words.protocols.jabber.xmlstream сетевого фреймворка Twisted связана с ошибками подтверждения подлинности сертификата. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, реализовать атаку типа «человек посередине»

Вендор

Red Hat Inc.
Canonical Ltd.
Novell Inc.
Glyph Lefkowitz
ООО «РусБИТех-Астра»
АО "НППКТ"

Наименование ПО

Red Hat Enterprise Linux
Ubuntu
SUSE Enterprise Storage
SUSE OpenStack Cloud
SUSE Linux Enterprise Module for Web Scripting
SUSE Linux Enterprise Module for Open Buildservice Development Tools
OpenSUSE Leap
SUSE Linux Enterprise Build System Kit
Twisted
SUSE OpenStack Cloud Crowbar
HPE Helion Openstack
Astra Linux Special Edition
ОСОН ОСнова Оnyx

Версия ПО

7 (Red Hat Enterprise Linux)
16.04 LTS (Ubuntu)
18.04 LTS (Ubuntu)
4 (SUSE Enterprise Storage)
7 (SUSE OpenStack Cloud)
12 (SUSE Linux Enterprise Module for Web Scripting)
15 (SUSE Linux Enterprise Module for Open Buildservice Development Tools)
15.0 (OpenSUSE Leap)
5 (SUSE Enterprise Storage)
12 SP4 (SUSE Linux Enterprise Build System Kit)
15 SP1 (SUSE Linux Enterprise Module for Open Buildservice Development Tools)
15.1 (OpenSUSE Leap)
до 19.2.1 (Twisted)
14.04 ESM (Ubuntu)
8 (SUSE OpenStack Cloud)
8 (SUSE OpenStack Cloud Crowbar)
8 (HPE Helion Openstack)
19.10 (Ubuntu)
9 (SUSE OpenStack Cloud)
9 (SUSE OpenStack Cloud Crowbar)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
до 2.4.2 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем
Сетевое программное средство

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 7
Canonical Ltd. Ubuntu 16.04 LTS
Canonical Ltd. Ubuntu 18.04 LTS
Novell Inc. OpenSUSE Leap 15.0
Novell Inc. OpenSUSE Leap 15.1
Canonical Ltd. Ubuntu 14.04 ESM
Canonical Ltd. Ubuntu 19.10
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,4)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для сетевого фреймворка Twisted:
https://twistedmatrix.com/trac/ticket/9561
Для Red Hat Enterprise Linux:
https://access.redhat.com/security/cve/cve-2019-12855
Для Ubuntu:
https://usn.ubuntu.com/4308-1/
https://usn.ubuntu.com/4308-2/
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2019-12855/
Для ОСОН Основа:
Обновление программного обеспечения twisted до версии 20.3.0-7
Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17
Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 67%
0.00548
Низкий

7.4 High

CVSS3

8.8 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2019-12855

CVSS3: 7.4
ubuntu
около 6 лет назад

In words.protocols.jabber.xmlstream in Twisted through 19.2.1, XMPP support did not verify certificates when used with TLS, allowing an attacker to MITM connections.

redhat логотип

CVE-2019-12855

CVSS3: 7.4
redhat
около 6 лет назад

In words.protocols.jabber.xmlstream in Twisted through 19.2.1, XMPP support did not verify certificates when used with TLS, allowing an attacker to MITM connections.

nvd логотип

CVE-2019-12855

CVSS3: 7.4
nvd
около 6 лет назад

In words.protocols.jabber.xmlstream in Twisted through 19.2.1, XMPP support did not verify certificates when used with TLS, allowing an attacker to MITM connections.

msrc логотип

CVE-2019-12855

CVSS3: 7.4
msrc
около 4 лет назад

Описание отсутствует

debian логотип

CVE-2019-12855

CVSS3: 7.4
debian
около 6 лет назад

In words.protocols.jabber.xmlstream in Twisted through 19.2.1, XMPP su ...

EPSS

Процентиль: 67%
0.00548
Низкий

7.4 High

CVSS3

8.8 High

CVSS2