Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2020-04881

Опубликовано: 06 нояб. 2019
Источник: fstec
CVSS3: 6.5
CVSS2: 7.1
EPSS Низкий

Описание

Уязвимость файловой системы Samba существует из-за неверного ограничения имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить доступ к файлам и папкам за пределами сетевых путей SMB

Вендор

ООО «РусБИТех-Астра»
Novell Inc.
Fedora Project
Red Hat Inc.
Samba Team
АО «ИВК»
АО «Концерн ВНИИНС»

Наименование ПО

Astra Linux Special Edition
Suse Linux Enterprise Desktop
Suse Linux Enterprise Server
Fedora
Astra Linux Common Edition
OpenSUSE Leap
SUSE Linux Enterprise High Availability
OpenShift Container Platform
Astra Linux Special Edition для «Эльбрус»
Samba
Альт 8 СП
ОС ОН «Стрелец»

Версия ПО

1.6 «Смоленск» (Astra Linux Special Edition)
12 SP4 (Suse Linux Enterprise Desktop)
12 SP4 (Suse Linux Enterprise Server)
29 (Fedora)
2.12 «Орёл» (Astra Linux Common Edition)
15.0 (OpenSUSE Leap)
12 SP2-BCL (Suse Linux Enterprise Server)
12 SP2-ESPOS (Suse Linux Enterprise Server)
12 SP2 (SUSE Linux Enterprise High Availability)
12 SP3 (SUSE Linux Enterprise High Availability)
12 SP4 (SUSE Linux Enterprise High Availability)
15 (SUSE Linux Enterprise High Availability)
15 SP1 (SUSE Linux Enterprise High Availability)
4.1 (OpenShift Container Platform)
11 SP4-LTSS (Suse Linux Enterprise Server)
12 SP1-LTSS (Suse Linux Enterprise Server)
12 SP2-LTSS (Suse Linux Enterprise Server)
30 (Fedora)
12 SP3-LTSS (Suse Linux Enterprise Server)
12 SP3-BCL (Suse Linux Enterprise Server)
12 SP5 (Suse Linux Enterprise Server)
3.11 (OpenShift Container Platform)
3.9 (OpenShift Container Platform)
3.10 (OpenShift Container Platform)
31 (Fedora)
12 SP3-ESPOS (Suse Linux Enterprise Server)
12 SP1 (SUSE Linux Enterprise High Availability)
12 SP5 (SUSE Linux Enterprise High Availability)
8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
до 4.11.2 (Samba)
до 4.10.10 (Samba)
до 4.9.15 (Samba)
- (Альт 8 СП)
до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система
Прикладное ПО информационных систем
Сетевое программное средство

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Novell Inc. Suse Linux Enterprise Desktop 12 SP4
Novell Inc. Suse Linux Enterprise Server 12 SP4
Fedora Project Fedora 29
ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл»
Novell Inc. OpenSUSE Leap 15.0
Novell Inc. Suse Linux Enterprise Server 12 SP2-BCL
Novell Inc. Suse Linux Enterprise Server 12 SP2-ESPOS
Novell Inc. Suse Linux Enterprise Server 11 SP4-LTSS
Novell Inc. Suse Linux Enterprise Server 12 SP1-LTSS
Novell Inc. Suse Linux Enterprise Server 12 SP2-LTSS
Fedora Project Fedora 30
Novell Inc. Suse Linux Enterprise Server 12 SP3-LTSS
Novell Inc. Suse Linux Enterprise Server 12 SP3-BCL
Novell Inc. Suse Linux Enterprise Server 12 SP5
Fedora Project Fedora 31
Novell Inc. Suse Linux Enterprise Server 12 SP3-ESPOS
ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»
АО «ИВК» Альт 8 СП -
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Samba:
https://www.samba.org/samba/security/CVE-2019-10218.html
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2019-10218/
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2019-11251
Для Astra Linux:
Обновление программного обеспечения (пакета samba) до 2:4.1.17+dfsg-2+deb8u1 или более поздней версии
Для ОС ОН «Стрелец»:
Обновление программного обеспечения samba до версии 2:4.13.17+repack-1osnova1strelets
Для Astra Linux 1.6 «Смоленск»:
обновить пакет samba до 2:4.9.5+dfsg-5+deb10u4astra.se7 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для ОС Astra Linux:
обновить пакет samba до 2:4.9.5+dfsg-5+deb10u4astra.se7 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20241206SE81

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 89%
0.04508
Низкий

6.5 Medium

CVSS3

7.1 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2019-10218

CVSS3: 6.5
ubuntu
больше 6 лет назад

A flaw was found in the samba client, all samba versions before samba 4.11.2, 4.10.10 and 4.9.15, where a malicious server can supply a pathname to the client with separators. This could allow the client to access files and folders outside of the SMB network pathnames. An attacker could use this vulnerability to create files outside of the current working directory using the privileges of the client user.

redhat логотип

CVE-2019-10218

CVSS3: 5.3
redhat
больше 6 лет назад

A flaw was found in the samba client, all samba versions before samba 4.11.2, 4.10.10 and 4.9.15, where a malicious server can supply a pathname to the client with separators. This could allow the client to access files and folders outside of the SMB network pathnames. An attacker could use this vulnerability to create files outside of the current working directory using the privileges of the client user.

nvd логотип

CVE-2019-10218

CVSS3: 6.5
nvd
больше 6 лет назад

A flaw was found in the samba client, all samba versions before samba 4.11.2, 4.10.10 and 4.9.15, where a malicious server can supply a pathname to the client with separators. This could allow the client to access files and folders outside of the SMB network pathnames. An attacker could use this vulnerability to create files outside of the current working directory using the privileges of the client user.

debian логотип

CVE-2019-10218

CVSS3: 6.5
debian
больше 6 лет назад

A flaw was found in the samba client, all samba versions before samba ...

suse-cvrf логотип

SUSE-SU-2019:2893-1

suse-cvrf
больше 6 лет назад

Security update for samba

EPSS

Процентиль: 89%
0.04508
Низкий

6.5 Medium

CVSS3

7.1 High

CVSS2