BDU:2021-01302

Опубликовано: 29 окт. 2019

Источник: fstec

CVSS3: 7.5

CVSS2: 5

EPSS Низкий

Описание

Уязвимость функции HandleZlibBPP реализации VNC с расширениями для оптимизации работы в условиях медленных каналов передачи данных Tightvnc связана с разыменованием нулевого указателя. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

Canonical Ltd.

Сообщество свободного программного обеспечения

ООО «РусБИТех-Астра»

АО "НППКТ"

Наименование ПО

Ubuntu

Debian GNU/Linux

Astra Linux Common Edition

TightVNC

ОСОН ОСнова Оnyx

Версия ПО

16.04 LTS (Ubuntu)

9 (Debian GNU/Linux)

18.04 LTS (Ubuntu)

18.10 (Ubuntu)

19.04 (Ubuntu)

2.12 «Орёл» (Astra Linux Common Edition)

8 (Debian GNU/Linux)

10 (Debian GNU/Linux)

до 1.3.10 включительно (TightVNC)

до 2.5 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Canonical Ltd. Ubuntu 16.04 LTS

Сообщество свободного программного обеспечения Debian GNU/Linux 9

Canonical Ltd. Ubuntu 18.04 LTS

Canonical Ltd. Ubuntu 18.10

Canonical Ltd. Ubuntu 19.04

ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл»

Сообщество свободного программного обеспечения Debian GNU/Linux 8

Сообщество свободного программного обеспечения Debian GNU/Linux 10

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Для Tightvnc:

Обновление программного обеспечения до 1:1.3.10-1 или более поздней версии

Для Debian:

Обновление программного обеспечения (пакета tightvnc) до 1:1.3.9-9deb10u1 или более поздней версии

Для Astra Linux:

Обновление программного обеспечения (пакета tightvnc) до 1:1.3.9-9deb10u1 или более поздней версии

Для Ubuntu:

https://ubuntu.com/security/notices/USN-4407-1

Для ОСОН Основа:

Обновление программного обеспечения libvncserver до версии 0.9.13+dfsg-3osnova2

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2019-15680
CVE

EPSS

Процентиль: 56%

0.00337

Низкий

7.5 High

CVSS3

5 Medium

CVSS2

Связанные уязвимости

CVE-2019-15680

CVSS3: 7.5

ubuntu

больше 6 лет назад

TightVNC code version 1.3.10 contains null pointer dereference in HandleZlibBPP function, which results Denial of System (DoS). This attack appear to be exploitable via network connectivity.

CVE-2019-15680

CVSS3: 7.5

nvd

больше 6 лет назад

TightVNC code version 1.3.10 contains null pointer dereference in HandleZlibBPP function, which results Denial of System (DoS). This attack appear to be exploitable via network connectivity.

CVE-2019-15680

CVSS3: 7.5

debian

больше 6 лет назад

TightVNC code version 1.3.10 contains null pointer dereference in Hand ...

GHSA-7734-vjrv-hjxq

github

больше 3 лет назад

TightVNC code version 1.3.10 contains null pointer dereference in HandleZlibBPP function, which results Denial of System (DoS). This attack appear to be exploitable via network connectivity.

SUSE-SU-2019:14235-1

suse-cvrf

около 6 лет назад

Security update for tightvnc

EPSS

Процентиль: 56%

0.00337

Низкий

7.5 High

CVSS3

5 Medium

CVSS2