Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

BDU:2020-02395

CVSS: 9.8

11.07.2019

Уязвимость компонента Proxy-Authentication прокси-сервера Squid, позволяющая нарушителю вызвать отказ в обслуживании или выполнить произвольный код

Уязвимость компонента Proxy-Authentication прокси-сервера Squid связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании или выполнить произвольный код

Статус уязвимости:	Подтверждена производителем Уязвимость устранена
Дата выявления:	11.07.2019
Класс уязвимости:	Уязвимость кода
Наличие эксплойта:	Данные уточняются
Способ эксплуатации:	Манипулирование структурами данных
Способ устранения:	Нет данных
Меры по устранению:	Использование рекомендаций: Для Squid: https://github.com/squid-cache/squid/commits/v4 http://www.squid-cache.org/Versions/v4/changesets/squid-4-7f73e9c5d17664b882ed32590e6af310c247f320.patch Для Ubuntu: https://usn.ubuntu.com/4065-1/ https://usn.ubuntu.com/4065-2/ Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/SPXN2CLAGN5QSQBTOV5IGVLDOQSRFNTZ/ Для программных продуктов Novell Inc.: https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00053.html https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00056.html Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2019-12525 Для Debian: https://security-tracker.debian.org/tracker/CVE-2019-12525 Для Astra Linux: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16 https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81 Для ОС ОН «Стрелец»: Обновление программного обеспечения squid3 до версии 3.5.23-5+deb9u7

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE

Идентификатор	Описание
CWE-119	Выполнение операций за пределами буфера памяти

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
CVE-2019-12525	An issue was discovered in Squid 3.3.9 through 3.5.28 and 4.x through 4.7. When Squid is configured to use Digest authenticat...

CVSS

Система общей оценки уязвимостей

Оценка	Severity	Версия	Базовый вектор
7.5	HIGH	2.0	AV:N/AC:L/Au:N/C:P/I:P/A:P
9.8	HIGH	3.0	AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Идентификаторы других систем описаний уязвимостей

CVE-2019-12525

Вендор:	Red Hat Inc. Canonical Ltd. Сообщество свободного программного обеспечения ООО «РусБИТех-Астра» Fedora Project Novell Inc. Squid Software Foundation АО «Концерн ВНИИНС»
Тип ПО:	Операционная система Сетевое программное средство
Наименование ПО:	Red Hat Enterprise Linux Ubuntu Debian GNU/Linux Astra Linux Special Edition Fedora Astra Linux Common Edition OpenSUSE Leap Astra Linux Special Edition для «Эльбрус» Squid ОС ОН «Стрелец»
Версия ПО:	7 (Red Hat Enterprise Linux) 16.04 LTS (Ubuntu) 9 (Debian GNU/Linux) 18.04 LTS (Ubuntu) 1.6 «Смоленск» (Astra Linux Special Edition) 8.0 (Debian GNU/Linux) 29 (Fedora) 12.04 ESM (Ubuntu) 19.04 (Ubuntu) 2.12 «Орёл» (Astra Linux Common Edition) 8 (Red Hat Enterprise Linux) 15.0 (OpenSUSE Leap) 15.1 (OpenSUSE Leap) 10 (Debian GNU/Linux) 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус») от 4.0 до 4.7 включительно (Squid) от 3.3.9 до 3.5.28 включительно (Squid) до 16.01.2023 (ОС ОН «Стрелец»)
ОС и аппаратные платформы:	Red Hat Enterprise Linux (7) Ubuntu (16.04 LTS) Debian GNU/Linux (9) Ubuntu (18.04 LTS) Astra Linux Special Edition (1.6 «Смоленск») Debian GNU/Linux (8.0) Fedora (29) Ubuntu (12.04 ESM) Ubuntu (19.04) Astra Linux Common Edition (2.12 «Орёл») Red Hat Enterprise Linux (8) OpenSUSE Leap (15.0) OpenSUSE Leap (15.1) Debian GNU/Linux (10) Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград») ОС ОН «Стрелец» (до 16.01.2023)
Ссылки на источники:	http://www.squid-cache.org/Versions/v4/changesets/ http://www.squid-cache.org/Versions/v4/changesets/squid-4-7f73e9c5d17664b882ed32590e6af310c247f320.patch https://access.redhat.com/security/cve/CVE-2019-12525 https://github.com/squid-cache/squid/commits/v4 https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/SPXN2CLAGN5QSQBTOV5IGVLDO... https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00053.html https://lists.opensuse.org/opensuse-security-announce/2019-11/msg00056.html https://nvd.nist.gov/vuln/detail/CVE-2019-12525 https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-12525.html?_ga=2.177951269.1237142402.1563167419-1618695... https://security-tracker.debian.org/tracker/CVE-2019-12525 https://usn.ubuntu.com/4065-1/ https://usn.ubuntu.com/4065-2/ https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16 https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81 https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.

Каталог уязвимостей - БДУ ФСТЭК - BDU:2020-02395