Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-11254

Опубликовано: 10 сент. 2018
Источник: fstec
CVSS3: 8.1
CVSS2: 9.4
EPSS Низкий

Описание

Уязвимость функции _bson_iter_next_internal библиотеки libbson драйвера системы управления базами данных MongoDB C Driver связана с возможностью перечитывать буфер с помощью созданного буфера bson. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальной информации или повредить память

Вендор

Fedora Project
Сообщество свободного программного обеспечения
ООО «Ред Софт»
MongoDB Inc.

Наименование ПО

Fedora
Debian GNU/Linux
РЕД ОС
libbson
Fedora EPEL

Версия ПО

28 (Fedora)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
7.3 (РЕД ОС)
13 (Debian GNU/Linux)
1.12.0 (libbson)
epel7 (Fedora EPEL)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Fedora Project Fedora 28
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «Ред Софт» РЕД ОС 7.3
Сообщество свободного программного обеспечения Debian GNU/Linux 13

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,4)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 8,1)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Использование рекомендаций:
Для libbson:
https://github.com/mongodb/mongo-c-driver/commit/0d9a4d98bfdf4acd2c0138d4aaeb4e2e0934bd84
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2018-16790
Для Fedora:
https://bodhi.fedoraproject.org/updates/FEDORA-2018-2f8f5f75f1
Для Ред ОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 62%
0.00433
Низкий

8.1 High

CVSS3

9.4 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2018-16790

CVSS3: 8.1
ubuntu
около 7 лет назад

_bson_iter_next_internal in bson-iter.c in libbson 1.12.0, as used in MongoDB mongo-c-driver and other products, has a heap-based buffer over-read via a crafted bson buffer.

redhat логотип

CVE-2018-16790

CVSS3: 6.3
redhat
около 7 лет назад

_bson_iter_next_internal in bson-iter.c in libbson 1.12.0, as used in MongoDB mongo-c-driver and other products, has a heap-based buffer over-read via a crafted bson buffer.

nvd логотип

CVE-2018-16790

CVSS3: 8.1
nvd
около 7 лет назад

_bson_iter_next_internal in bson-iter.c in libbson 1.12.0, as used in MongoDB mongo-c-driver and other products, has a heap-based buffer over-read via a crafted bson buffer.

debian логотип

CVE-2018-16790

CVSS3: 8.1
debian
около 7 лет назад

_bson_iter_next_internal in bson-iter.c in libbson 1.12.0, as used in ...

github логотип

GHSA-vmg6-94hc-5vqp

CVSS3: 8.1
github
больше 3 лет назад

_bson_iter_next_internal in bson-iter.c in libbson 1.12.0, as used in MongoDB mongo-c-driver and other products, has a heap-based buffer over-read via a crafted bson buffer.

EPSS

Процентиль: 62%
0.00433
Низкий

8.1 High

CVSS3

9.4 Critical

CVSS2