BDU:2020-03159

Опубликовано: 17 июн. 2020

Источник: fstec

CVSS2: 5

EPSS Низкий

Описание

Уязвимость компонента libvncclient/rfbproto.c кроссплатформенной библиотеки LibVNCServer связана с ошибками в коде. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Вендор

ООО «РусБИТех-Астра»

Novell Inc.

Сообщество свободного программного обеспечения

АО «ИВК»

АО «Концерн ВНИИНС»

Наименование ПО

Astra Linux Special Edition

SUSE Linux Enterprise Server for SAP Applications

Suse Linux Enterprise Server

SUSE Linux Enterprise High Performance Computing

SUSE Linux Enterprise SDK

Astra Linux Common Edition

SUSE Linux Enterprise Workstation Extension

Debian GNU/Linux

Astra Linux Special Edition для «Эльбрус»

SUSE Business Critical Linux

LibVNCServer

Альт 8 СП

ОС ОН «Стрелец»

Версия ПО

1.6 «Смоленск» (Astra Linux Special Edition)

12 SP2 (SUSE Linux Enterprise Server for SAP Applications)

12 SP3 (SUSE Linux Enterprise Server for SAP Applications)

12 SP4 (SUSE Linux Enterprise Server for SAP Applications)

12 SP4 (Suse Linux Enterprise Server)

12 (SUSE Linux Enterprise High Performance Computing)

12 SP2 LTSS (Suse Linux Enterprise Server)

12 SP4 (SUSE Linux Enterprise SDK)

2.12 «Орёл» (Astra Linux Common Edition)

15 SP1 (SUSE Linux Enterprise Workstation Extension)

11 SP4-LTSS (Suse Linux Enterprise Server)

12 SP3-LTSS (Suse Linux Enterprise Server)

12 SP5 (Suse Linux Enterprise Server)

12 SP5 (SUSE Linux Enterprise Server for SAP Applications)

8 (Debian GNU/Linux)

8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)

12 SP2 (SUSE Business Critical Linux)

12 SP3 (SUSE Business Critical Linux)

до 0.9.13 (LibVNCServer)

12 SP5 (SUSE Linux Enterprise SDK)

15 SP2 (SUSE Linux Enterprise Workstation Extension)

- (Альт 8 СП)

до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4

Novell Inc. Suse Linux Enterprise Server 12 SP4

Novell Inc. Suse Linux Enterprise Server 12 SP2 LTSS

ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл»

Novell Inc. Suse Linux Enterprise Server 11 SP4-LTSS

Novell Inc. Suse Linux Enterprise Server 12 SP3-LTSS

Novell Inc. Suse Linux Enterprise Server 12 SP5

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5

Сообщество свободного программного обеспечения Debian GNU/Linux 8

ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»

АО «ИВК» Альт 8 СП -

АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Для LibVNCServer:

Обновление кроссплатформенной библиотеки LibVNCServer до версии 0.9.13 или новее

Для Debian GNU/Linux:

https://lists.debian.org/debian-lts-announce/2020/06/msg00035.html

Для программных продуктов Novell Inc.:

https://www.suse.com/security/cve/CVE-2020-14399/

Для Astra Linux:

Использование рекомендаций производителя:

https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16

https://wiki.astralinux.ru/pages/viewpage.action?pageId=47416144

https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81

Для ОС ОН «Стрелец»:

Обновление программного обеспечения libvncserver до версии 0.9.11+dfsg-1.3~deb9u6

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2020-14399
CVE

EPSS

Процентиль: 85%

0.02477

Низкий

5 Medium

CVSS2

Связанные уязвимости

CVE-2020-14399

CVSS3: 7.5

ubuntu

больше 5 лет назад

An issue was discovered in LibVNCServer before 0.9.13. Byte-aligned data is accessed through uint32_t pointers in libvncclient/rfbproto.c. NOTE: there is reportedly "no trust boundary crossed.

CVE-2020-14399

redhat

больше 5 лет назад

An issue was discovered in LibVNCServer before 0.9.13. Byte-aligned data is accessed through uint32_t pointers in libvncclient/rfbproto.c. NOTE: there is reportedly "no trust boundary crossed.

CVE-2020-14399

CVSS3: 7.5

nvd

больше 5 лет назад

An issue was discovered in LibVNCServer before 0.9.13. Byte-aligned data is accessed through uint32_t pointers in libvncclient/rfbproto.c. NOTE: there is reportedly "no trust boundary crossed.

CVE-2020-14399

CVSS3: 7.5

debian

больше 5 лет назад

An issue was discovered in LibVNCServer before 0.9.13. Byte-aligned da ...

GHSA-qc2v-f6rf-7c3g

CVSS3: 7.5

github

больше 3 лет назад

An issue was discovered in LibVNCServer before 0.9.13. Byte-aligned data is accessed through uint32_t pointers in libvncclient/rfbproto.c.

EPSS

Процентиль: 85%

0.02477

Низкий

5 Medium

CVSS2