Описание
Уязвимость библиотеки zlib связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании с помощью отправки специально сформированных данных приложению
Вендор
Red Hat Inc.
Сообщество свободного программного обеспечения
Canonical Ltd.
ООО «РусБИТех-Астра»
Fedora Project
ООО «Ред Софт»
АО «ИВК»
Жан-Лу Гайи, Марк Адлер
ООО «Открытая мобильная платформа»
АО "НППКТ"
АО «НТЦ ИТ РОСА»
Zimbra Inc.
АО «Концерн ВНИИНС»
Наименование ПО
Red Hat Enterprise Linux
Debian GNU/Linux
Ubuntu
Astra Linux Special Edition
Red Hat Virtualization
JBoss Core Services
Astra Linux Special Edition для «Эльбрус»
Fedora
РЕД ОС
Альт 8 СП
zlib
ОС Аврора
ОСОН ОСнова Оnyx
ROSA Virtualization
Zimbra Collaboration Suite
РОСА ХРОМ
ОС ОН «Стрелец»
Версия ПО
6 (Red Hat Enterprise Linux)
7 (Red Hat Enterprise Linux)
9 (Debian GNU/Linux)
18.04 LTS (Ubuntu)
1.6 «Смоленск» (Astra Linux Special Edition)
4 (Red Hat Virtualization)
8 (Red Hat Enterprise Linux)
14.04 ESM (Ubuntu)
10 (Debian GNU/Linux)
- (JBoss Core Services)
8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
20.04 LTS (Ubuntu)
16.04 ESM (Ubuntu)
11 (Debian GNU/Linux)
35 (Fedora)
21.10 (Ubuntu)
7.3 (РЕД ОС)
- (Альт 8 СП)
до 1.2.12 (zlib)
до 4.0.2.172 (ОС Аврора)
до 4.0.2.172 (ОС Аврора)
до 4.0.2.172 (ОС Аврора)
до 4.0.2.172 (ОС Аврора)
4.7 (Astra Linux Special Edition)
до 2.5 (ОСОН ОСнова Оnyx)
до 2.6 (ОСОН ОСнова Оnyx)
2.1 (ROSA Virtualization)
до 9.0.0 Patch 30 (Zimbra Collaboration Suite)
12.4 (РОСА ХРОМ)
до 16.01.2023 (ОС ОН «Стрелец»)
Тип ПО
Операционная система
ПО виртуализации/ПО виртуального программно-аппаратного средства
Прикладное ПО информационных систем
Сетевое средство
Операционные системы и аппаратные платформы
Red Hat Inc. Red Hat Enterprise Linux 6
Red Hat Inc. Red Hat Enterprise Linux 7
Сообщество свободного программного обеспечения Debian GNU/Linux 9
Canonical Ltd. Ubuntu 18.04 LTS
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Red Hat Inc. Red Hat Enterprise Linux 8
Canonical Ltd. Ubuntu 14.04 ESM
Сообщество свободного программного обеспечения Debian GNU/Linux 10
ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»
Canonical Ltd. Ubuntu 20.04 LTS
Canonical Ltd. Ubuntu 16.04 ESM
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Fedora Project Fedora 35
Canonical Ltd. Ubuntu 21.10
ООО «Ред Софт» РЕД ОС 7.3
АО «ИВК» Альт 8 СП -
ООО «Открытая мобильная платформа» ОС Аврора до 4.0.2.172
ООО «Открытая мобильная платформа» ОС Аврора до 4.0.2.172
ООО «Открытая мобильная платформа» ОС Аврора до 4.0.2.172
ООО «Открытая мобильная платформа» ОС Аврора до 4.0.2.172
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО "НППКТ" ОСОН ОСнова Оnyx до 2.5
АО "НППКТ" ОСОН ОСнова Оnyx до 2.6
АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,2)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для zlib:
https://github.com/madler/zlib/commit/5c44459c3b28a9bd3283aaceab7c615f8020c531
https://github.com/madler/zlib/compare/v1.2.11...v1.2.12
Для Zimbra Collaboration Suite:
https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories
https://wiki.zimbra.com/wiki/Security_Center
Для РедОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-zlib-cve-2018-25032/
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2018-25032
Для Ubuntu:
https://ubuntu.com/security/CVE-2018-25032
https://ubuntu.com/security/notices/USN-5355-1
https://ubuntu.com/security/notices/USN-5355-2
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/NS2D2GFPFGOJUL4WQ3DUAY7HF4VWQ77F/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2018-25032
Для ОС Аврора 3.2.1: https://cve.omprussia.ru/bb13321
Для ОС Аврора 3.2.2: https://cve.omprussia.ru/bb14322
Для ОС Аврора 3.2.3: https://cve.omprussia.ru/bb15323
Для ОС Аврора 4.0.2: https://cve.omprussia.ru/bb16402
Для ОС Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16
Для ОСОН Основа:
Обновление программного обеспечения zlib до версии 1:1.2.11.dfsg-1+deb10u1
Для Astra Linux Special Edition 4.7 (для архитектуры ARM):
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения libz-mingw-w64 до версии 1.2.12+dfsg-2
Обновление программного обеспечения mariadb-10.3 до версии 1:10.3.36+repack-0+deb10u2.osnova1
Для ОС Альт 8 СП:
установка обновления из публичного репозитория программного средства
Для системы управления средой виртуализации "ROSA Virtualization":
https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2156
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для операционной системы РОСА ХРОМ: https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2250
Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет zlib до 1:1.2.8.dfsg-5+deb9u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81
Для ОС ОН «Стрелец»:
Обновление программного обеспечения libz-mingw-w64 до версии 1.2.11+dfsg-1+deb9u1
Обновление программного обеспечения zlib до версии 1:1.2.8.dfsg-5+deb9u1
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2024-2463
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует в открытом доступе
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 26%
0.00087
Низкий
8.2 High
CVSS3
8.5 High
CVSS2
Связанные уязвимости
CVSS3: 7.5
ubuntu
около 3 лет назад
zlib before 1.2.12 allows memory corruption when deflating (i.e., when compressing) if the input has many distant matches.
CVSS3: 8.2
redhat
около 7 лет назад
zlib before 1.2.12 allows memory corruption when deflating (i.e., when compressing) if the input has many distant matches.
CVSS3: 7.5
nvd
около 3 лет назад
zlib before 1.2.12 allows memory corruption when deflating (i.e., when compressing) if the input has many distant matches.
CVSS3: 7.5
debian
около 3 лет назад
zlib before 1.2.12 allows memory corruption when deflating (i.e., when ...
EPSS
Процентиль: 26%
0.00087
Низкий
8.2 High
CVSS3
8.5 High
CVSS2