• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-4208-1 procps -- обновление безопасности

Главная Специалистам База уязвимостей DSA-4208-1 procps -- обновление безопасности

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
libprocps3 (any) libprocps3-dev (any) libprocps6 (any) libprocps-dev (any) procps (any)
Описание
Сотрудники Qualys Research Labs обнаружили многочисленные уязвимости в procps,
наборе утилит командной строки для просмотра procfs. Проект
Common Vulnerabilities and Exposures определяет следующие
проблемы:

CVE-2018-1122
    Утилита top читает свои настройки из текущего рабочего каталога в том случае, если
    не настроена переменная $HOME. Если top запустить из каталога, для которого у злоумышленника
    имеются права на запись (например, /tmp), то это приведёт к локальному повышению
    привилегий.
CVE-2018-1123
    Отказ в обслуживании при вызове ps другим пользователем.
CVE-2018-1124
    Переполнение целых чисел в функции file2strvec() из libprocps может
    приводить к локальному повышению привилегий.
CVE-2018-1125
    Переполнение буфера в pgrep может приводить к отказу в обслуживании
    для пользователя, использующего pgrep для просмотра специально
    сформированных процессов.
CVE-2018-1126
    Некорректные параметры размера целых чисел, используемые в обёртках стандартных
    функций языка C для выделения памяти, могут вызывать усечение целых чисел
    и приводить к переполнениям целых чисел.

В предыдущем стабильном выпуске (jessie) эти проблемы были исправлены
в версии 2:3.3.9-9+deb8u1.
В стабильном выпуске (stretch) эти проблемы были исправлены в
версии 2:3.3.12-3+deb9u1.
Рекомендуется обновить пакеты procps.
С подробным статусом поддержки безопасности procps можно ознакомиться на
соответствующей странице отслеживания безопасности по адресу
https://security-tracker.debian.org/tracker/procps">https://security-tracker.debian.org/tracker/procps">https://security-tracker.debian.org/tracker/procps
Как исправить
Проблема может быть решена обновлением операционной системыдо следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 9:
noarch:
libprocps-dev - 2:3.3.12-3+deb9u1
libprocps6 - 2:3.3.12-3+deb9u1
procps - 2:3.3.12-3+deb9u1
Debian GNU/Linux 8:
noarch:
libprocps3 - 2:3.3.9-9+deb8u1
libprocps3-dev - 2:3.3.9-9+deb8u1
procps - 2:3.3.9-9+deb8u1
Ссылки
http://www.debian.org/security/dsa-4208/

Источник: CVE
Наименование: CVE-2018-1122
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1122

Источник: CVE
Наименование: CVE-2018-1123
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1123

Источник: CVE
Наименование: CVE-2018-1124
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1124

Источник: CVE
Наименование: CVE-2018-1125
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1125

Источник: CVE
Наименование: CVE-2018-1126
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1126