Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

BDU:2021-01329

CVSS: 7.8

29.11.2020

Уязвимость спецификации Open Connectivity Foundation UPnP, позволяющая нарушителю получить доступ к конфиденциальным данным, а также вызвать отказ в обслуживании

Уязвимость спецификации Open Connectivity Foundation UPnP связана с недостатком механизма стандартных разрешений. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, а также вызвать отказ в обслуживании

Статус уязвимости:	Подтверждена производителем Уязвимость устранена
Дата выявления:	29.11.2020
Класс уязвимости:	Уязвимость кода
Наличие эксплойта:	Данные уточняются
Способ эксплуатации:	Нарушение авторизации
Способ устранения:	Нет данных
Меры по устранению:	Использование рекомендаций: Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/L3SHL4LOFGHJ3DIXSUIQELGVBDJ7V7LB/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/MZDWHKGN3LMGSUEOAAVAMOD3IUIPJVOJ/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/RQEYVY4D7LASH6AI4WK3IK2QBFHHF3Q2/ Для Ubuntu: https://ubuntu.com/security/notices/USN-4494-1 Для UPnP: https://w1.fi/security/2020-1/upnp-subscribe-misbehavior-wps-ap.txt Для Debian: https://security-tracker.debian.org/tracker/CVE-2020-12695 Для Astra Linux: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16 https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81 https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17 Для ОСОН Основа: Обновление программного обеспечения wpa до версии 2:2.7+git20190128+0c1e29f-6+deb10u3 Для ОСОН ОСнова Оnyx: Обновление программного обеспечения pupnp-1.8 до версии 1:1.8.4-2osnova0 Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17 Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47 Для ОС ОН «Стрелец»: Обновление программного обеспечения gssdp до версии 1.0.1-1+deb9u1 Обновление программного обеспечения gupnp до версии 1.0.1-1+deb9u1 Обновление программного обеспечения wpa до версии 2:2.4-1+deb9u9

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE

Идентификатор	Описание
CWE-276	Incorrect Default Permissions (CWE-276)

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
CVE-2020-12695	The Open Connectivity Foundation UPnP specification before 2020-04-17 does not forbid the acceptance of a subscription reques...

CVSS

Система общей оценки уязвимостей

Оценка	Severity	Версия	Базовый вектор
7.8	HIGH	2.0	AV:N/AC:M/Au:N/C:P/I:N/A:C

Идентификаторы других систем описаний уязвимостей

CVE-2020-12695

Вендор:	Сообщество свободного программного обеспечения ООО «РусБИТех-Астра» Fedora Project Canonical Ltd. АО "НППКТ" АО «Концерн ВНИИНС»
Тип ПО:	Операционная система Сетевое средство ПО сетевого программно-аппаратного средства
Наименование ПО:	Debian GNU/Linux Astra Linux Special Edition Astra Linux Common Edition Fedora Astra Linux Special Edition для «Эльбрус» Ubuntu UPnP ОСОН ОСнова Оnyx ОС ОН «Стрелец»
Версия ПО:	9 (Debian GNU/Linux) 1.6 «Смоленск» (Astra Linux Special Edition) 8.0 (Debian GNU/Linux) 2.12 «Орёл» (Astra Linux Common Edition) 10 (Debian GNU/Linux) 31 (Fedora) 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус») 32 (Fedora) 20.04 LTS (Ubuntu) до 2.0.0 (UPnP) 1.7 (Astra Linux Special Edition) 4.7 (Astra Linux Special Edition) до 2.1 (ОСОН ОСнова Оnyx) до 2.6 (ОСОН ОСнова Оnyx) до 16.01.2023 (ОС ОН «Стрелец»)
ОС и аппаратные платформы:	Debian GNU/Linux (9) Astra Linux Special Edition (1.6 «Смоленск») Debian GNU/Linux (8.0) Astra Linux Common Edition (2.12 «Орёл») Debian GNU/Linux (10) Fedora (31) Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград») Fedora (32) Ubuntu (20.04 LTS) Astra Linux Special Edition (1.7) Astra Linux Special Edition (4.7) ОСОН ОСнова Оnyx (до 2.6) ОС ОН «Стрелец» (до 16.01.2023)
Ссылки на источники:	http://packetstormsecurity.com/files/158051/CallStranger-UPnP-Vulnerability-Checker.html https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/L3SHL4LOFGHJ3DIXSUIQELGVB... https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/MZDWHKGN3LMGSUEOAAVAMOD3I... https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/RQEYVY4D7LASH6AI4WK3IK2QB... https://nvd.nist.gov/vuln/detail/CVE-2020-12695 https://security-tracker.debian.org/tracker/CVE-2020-12695 https://ubuntu.com/security/notices/USN-4494-1 https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16 https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81 https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17 https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.1/ https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.6/ https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17 https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47 https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.

Каталог уязвимостей - БДУ ФСТЭК - BDU:2021-01329