BDU:2024-02119

Опубликовано: 26 сент. 2018

Источник: fstec

CVSS3: 7.5

CVSS2: 7.8

EPSS Низкий

Описание

Уязвимость текстового процессора AsciiDoc Asciidoctor связана с выполнением цикла с недоступным условием выхода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

Novell Inc.

Red Hat Inc.

Сообщество свободного программного обеспечения

Asciidoctor Project

Наименование ПО

Suse Linux Enterprise Desktop

SUSE Linux Enterprise Server for SAP Applications

SUSE Linux Enterprise Software Development Kit

Red Hat Virtualization

Suse Linux Enterprise Server

SUSE Linux Enterprise Module for Development Tools

Debian GNU/Linux

SUSE Enterprise Storage

SUSE Linux Enterprise High Performance Computing

SUSE CaaS Platform

SUSE Manager Proxy

SUSE Manager Retail Branch Server

SUSE Manager Server

SUSE Linux Enterprise Server Business Critical Linux

Asciidoctor

Версия ПО

12 SP4 (Suse Linux Enterprise Desktop)

12 SP4 (SUSE Linux Enterprise Server for SAP Applications)

12 SP4 (SUSE Linux Enterprise Software Development Kit)

4 (Red Hat Virtualization)

12 SP4 (Suse Linux Enterprise Server)

15 (SUSE Linux Enterprise Module for Development Tools)

15 SP1 (SUSE Linux Enterprise Module for Development Tools)

15 (SUSE Linux Enterprise Server for SAP Applications)

15 SP1 (SUSE Linux Enterprise Server for SAP Applications)

12 SP5 (Suse Linux Enterprise Server)

12 SP5 (SUSE Linux Enterprise Software Development Kit)

10 (Debian GNU/Linux)

6 (SUSE Enterprise Storage)

15-ESPOS (SUSE Linux Enterprise High Performance Computing)

15-LTSS (SUSE Linux Enterprise High Performance Computing)

15-LTSS (Suse Linux Enterprise Server)

4.0 (SUSE CaaS Platform)

15 SP1-BCL (Suse Linux Enterprise Server)

15 SP1-LTSS (Suse Linux Enterprise Server)

15 SP1-LTSS (SUSE Linux Enterprise High Performance Computing)

15 SP1-ESPOS (SUSE Linux Enterprise High Performance Computing)

4.0 (SUSE Manager Proxy)

4.0 (SUSE Manager Retail Branch Server)

4.0 (SUSE Manager Server)

15 SP1 (Suse Linux Enterprise Server)

11 (Debian GNU/Linux)

12 (Debian GNU/Linux)

15 (Suse Linux Enterprise Server)

15 SP1 (Suse Linux Enterprise Desktop)

15 (Suse Linux Enterprise Desktop)

15 (SUSE Linux Enterprise High Performance Computing)

15 SP1 (SUSE Linux Enterprise High Performance Computing)

15 SP1 (SUSE Linux Enterprise Server Business Critical Linux)

15 SP5 (SUSE Linux Enterprise Server for SAP Applications)

до 1.5.8 (Asciidoctor)

Тип ПО

Операционная система

Прикладное ПО информационных систем

ПО виртуализации/ПО виртуального программно-аппаратного средства

Сетевое средство

Операционные системы и аппаратные платформы

Novell Inc. Suse Linux Enterprise Desktop 12 SP4

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4

Novell Inc. Suse Linux Enterprise Server 12 SP4

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP1

Novell Inc. Suse Linux Enterprise Server 12 SP5

Сообщество свободного программного обеспечения Debian GNU/Linux 10

Novell Inc. Suse Linux Enterprise Server 15-LTSS

Novell Inc. Suse Linux Enterprise Server 15 SP1-BCL

Novell Inc. Suse Linux Enterprise Server 15 SP1-LTSS

Novell Inc. Suse Linux Enterprise Server 15 SP1

Сообщество свободного программного обеспечения Debian GNU/Linux 11

Сообщество свободного программного обеспечения Debian GNU/Linux 12

Novell Inc. Suse Linux Enterprise Server 15

Novell Inc. Suse Linux Enterprise Desktop 15 SP1

Novell Inc. Suse Linux Enterprise Desktop 15

Novell Inc. SUSE Linux Enterprise Server Business Critical Linux 15 SP1

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP5

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Для программных продуктов Novell Inc.:

https://www.suse.com/security/cve/CVE-2018-18385.html

Для программных продуктов Red Hat Inc.:

https://access.redhat.com/security/cve/CVE-2018-18385

Для Debian GNU/Linux.:

https://security-tracker.debian.org/tracker/CVE-2018-18385

Для Asciidoctor:

Обновить ПО до версии 1.5.8 и выше

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-18385
CVE

EPSS

Процентиль: 70%

0.00625

Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

CVE-2018-18385

CVSS3: 7.5

ubuntu

больше 7 лет назад

Asciidoctor in versions < 1.5.8 allows remote attackers to cause a denial of service (infinite loop). The loop was caused by the fact that Parser.next_block was not exhausting all the lines in the reader as the while loop expected it would. This was happening because the regular expression that detects any list was not agreeing with the regular expression that detects a specific list type. So the line kept getting pushed back onto the reader, hence causing the loop.

CVE-2018-18385

CVSS3: 7.5

redhat

больше 7 лет назад

CVE-2018-18385

CVSS3: 7.5

nvd

больше 7 лет назад

CVE-2018-18385

CVSS3: 7.5

debian

больше 7 лет назад

Asciidoctor in versions < 1.5.8 allows remote attackers to cause a den ...

GHSA-qc9p-mjxm-j2wj

CVSS3: 7.5

github

больше 3 лет назад

Asciidoctor Infinite Loop vulnerability

EPSS

Процентиль: 70%

0.00625

Низкий

7.5 High

CVSS3

7.8 High

CVSS2