Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

BDU:2021-02663

CVSS: 3.5

10.05.2021

Уязвимость набора стандартов связи для коммуникации IEEE 802.11 операционной системы Windows, позволяющая нарушителю внедрить произвольные сетевые пакеты

Уязвимость набора стандартов связи для коммуникации IEEE 802.11 операционной системы Windows связана с недостатками процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, внедрить произвольные сетевые пакеты

Статус уязвимости:	Подтверждена производителем Уязвимость устранена
Дата выявления:	10.05.2021
Класс уязвимости:	Уязвимость кода
Наличие эксплойта:	Существует в открытом доступе
Способ эксплуатации:	Несанкционированный сбор информации
Способ устранения:	Нет данных
Меры по устранению:	Для программных продуктов Cisco Systems Inc.: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-wifi-faf-22epcEWu Для программных продуктов Microsoft Corp.: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2020-24588 Для ОСОН Основа: Обновление программного обеспечения linux до версии 5.14.9-2.osnova179.1 Для Linux: https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.271 https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.193 https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.42 Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE

Идентификатор	Описание
CWE-306	Отсутствие аутентификации для критически важных функций
CWE-327	Использование скомпрометированного или ненадежного криптографического алгоритма

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
CVE-2020-24588	The 802.11 standard that underpins Wi-Fi Protected Access (WPA, WPA2, and WPA3) and Wired Equivalent Privacy (WEP) doesn't re...

CVSS

Система общей оценки уязвимостей

Оценка	Severity	Версия	Базовый вектор
2.9	LOW	2.0	AV:A/AC:M/Au:N/C:N/I:P/A:N
3.5	LOW	3.0	AV:A/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N

Идентификаторы других систем описаний уязвимостей

CVE-2020-24588

Вендор:	Microsoft Corp. Cisco Systems Inc. АО «ИВК» АО "НППКТ" Сообщество свободного программного обеспечения
Тип ПО:	Операционная система Прикладное ПО информационных систем ПО сетевого программно-аппаратного средства ПО программно-аппаратного средства
Наименование ПО:	Windows Cisco IP Conference Phone 8832 Cisco IP Phone 6861 with Multiplatform Firmware Cisco IP Phone 8865 Cisco IP Phone 8861 Running Third-Party Call Control (3PCC) Software Cisco IP Phone 8821 Webex Room Webex Desk Webex Board Webex Wireless Phone 860 Webex Wireless Phone 840 Aironet 1542 Aironet 1810 Aironet 1815 Aironet 1832 Aironet 1842 Aironet 1852 Aironet 1800i Catalyst 9117 Catalyst 9124 Catalyst 9130 Aironet 1552 Aironet 1552H Aironet 1572 Aironet 1702 Aironet 2702 Aironet 3702 IW 3702 Catalyst 9100 Catalyst 9115 Wi-Fi 6 Catalyst 9120 Integrated AP on 1100 Integrated Services Routers Альт 8 СП ОСОН ОСнова Оnyx Linux
Версия ПО:	Server 2008 R2 SP1 (Windows) 8.1 (Windows) Server 2008 SP2 (Windows) Server 2012 (Windows) Server 2012 R2 (Windows) 8.1 RT (Windows) 10 (Windows) 10 1607 (Windows) Server 2016 (Windows) Server 2008 SP2 Server Core installation (Windows) Server 2012 R2 Server Core installation (Windows) Server 2016 Server Core installation (Windows) Server 2012 Server Core installation (Windows) 10 1809 (Windows) Server 2019 (Windows) Server 2019 Server Core installation (Windows) 10 1909 (Windows) 10 2004 (Windows) Server 2004 Server Core Installation (Windows) 12.8(1)SR1 (Cisco IP Conference Phone 8832) 11.3(3) (Cisco IP Phone 6861 with Multiplatform Firmware) 12.8(1)SR1 (Cisco IP Phone 8865) 11.3(4) (Cisco IP Phone 8861 Running Third-Party Call Control (3PCC) Software) 11.0(6)SR1 (Cisco IP Phone 8821) 9.15.2-RoomOS_March_2021 (Webex Room) 10.2.1-RoomOS_March_2021 (Webex Room) 9.15.0.11 (Webex Desk) 10.3.1-RoomOS_April_2021 (Webex Board) 1.1(0) (Webex Wireless Phone 860) 1.1(0) (Webex Wireless Phone 840) ap-17.6.0.31 (Aironet 1542) ap-17.6.0.31 (Aironet 1810) ap-17.6.0.31 (Aironet 1815) ap-17.6.0.31 (Aironet 1832) ap-17.6.0.31 (Aironet 1842) ap-17.6.0.31 (Aironet 1852) ap-17.6.0.31 (Aironet 1800i) ap-17.6.0.31 (Catalyst 9117) ap-17.6.0.31 (Catalyst 9124) ap-17.6.0.31 (Catalyst 9130) 8.10(158.64) (Aironet 1552) ap-17.6.0.97 (Aironet 1552) 8.10(158.64) (Aironet 1552H) 8.10(158.64) (Aironet 1572) ap-17.6.0.97 (Aironet 1572) ap-17.6.0.97 (Aironet 1702) 8.10(158.64) (Aironet 1702) 8.10(158.64) (Aironet 2702) ap-17.6.0.97 (Aironet 2702) ap-17.6.0.97 (Aironet 3702) 8.10(158.64) (Aironet 3702) 8.10(158.64) (IW 3702) ap-17.6.0.97 (IW 3702) ap-17.6.0.31 (Catalyst 9100) ap-17.6.0.31 (Catalyst 9115 Wi-Fi 6) ap-17.6.0.31 (Catalyst 9120) ap-17.6.0.31 (Integrated AP on 1100 Integrated Services Routers) - (Альт 8 СП) до 2.4 (ОСОН ОСнова Оnyx) от 4.0 до 4.9.270 включительно (Linux) от 4.10 до 4.19.192 включительно (Linux) от 4.20 до 5.10.41 включительно (Linux) от 5.11 до 5.13 (Linux)
ОС и аппаратные платформы:	Windows (Server 2008 R2 SP1) Windows (7 SP1) Windows (Server 2008 SP2) Windows (8.1) Windows (Server 2012) Windows (Server 2012 R2) Windows (8.1 RT) Windows (10) Windows (10 1607) Windows (Server 2016) Windows (Server 2008 SP2 Server Core installation) Windows (Server 2012 R2 Server Core installation) Windows (Server 2016 Server Core installation) Windows (Server 2008 R2 SP1 Server Core installation) Windows (Server 2012 Server Core installation) Windows (10 1803) Windows (10 1809) Windows (Server 2019) Windows (Server 2019 Server Core installation) Windows (10 1909) Windows (Server 1909 Server Core Installation) Windows (10 2004) Windows (Server 2004 Server Core Installation) Windows (10 20H2) Windows (Server 20H2 Server Core Installation) Альт 8 СП (-) ОСОН ОСнова Оnyx (до 2.4) Linux (от 4.0 до 4.9.270 включительно) Linux (от 4.10 до 4.19.192 включительно) Linux (от 4.20 до 5.10.41 включительно) Linux (от 5.11 до 5.12 включительно)
Ссылки на источники:	http://www.openwall.com/lists/oss-security/2021/05/11/12 https://cert-portal.siemens.com/productcert/pdf/ssa-913875.pdf https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-24588 https://github.com/vanhoefm/fragattacks/blob/master/SUMMARY.md https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.193 https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.271 https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.42 https://lists.debian.org/debian-lts-announce/2021/06/msg00019.html https://lists.debian.org/debian-lts-announce/2021/06/msg00020.html https://lists.debian.org/debian-lts-announce/2023/04/msg00002.html https://lore.kernel.org/linux-wireless/20210511180259.159598-1-johannes@sipsolutions.net/ https://lore.kernel.org/linux-wireless/20210511200110.11968c725b5c.Idd166365ebea2771c0c0a38c78b5060750f90e17@changeid/ https://lore.kernel.org/linux-wireless/20210511200110.25d93176ddaf.I9e265b597f2cd23eb44573f35b625947b386a9de@changeid/ https://msrc.microsoft.com/update-guide/vulnerability/CVE-2020-24588 https://nvd.nist.gov/vuln/detail/CVE-2020-24588 https://papers.mathyvanhoef.com/usenix2021.pdf https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-wifi-faf-22epcEWu https://ubuntu.com/security/notices/USN-4997-1 https://ubuntu.com/security/notices/USN-4997-2 https://ubuntu.com/security/notices/USN-4999-1 https://ubuntu.com/security/notices/USN-5000-1 https://ubuntu.com/security/notices/USN-5000-2 https://ubuntu.com/security/notices/USN-5001-1 https://www.arista.com/en/support/advisories-notices/security-advisories/12602-security-advisory-63 https://www.cve.org/CVERecord?id=CVE-2020-24588 https://www.fragattacks.com https://www.fragattacks.com/ https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00473.html https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.4/ https://altsp.su/obnovleniya-bezopasnosti/

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.

Каталог уязвимостей - БДУ ФСТЭК - BDU:2021-02663