• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-4367-1 systemd -- обновление безопасности

Главная Специалистам База уязвимостей DSA-4367-1 systemd -- обновление безопасности

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
Описание
Сотрудники Qualys Research Labs обнаружили многочисленные уязвимости в
systemd-journald. Две уязвимости, приводящие к порче содержимого памяти, с помощью управляемых
злоумышленником выделений памяти, использующих функцию alloca (CVE-2018-16864,
CVE-2018-16865), а
также чтение за пределами выделенного буфера памяти приводят к утечкам информации
(CVE-2018-16866),
могут позволить злоумышленнику вызывать отказ в обслуживании или выполнение
произвольного кода.
Дополнительные подробности можно найти в рекомендации по безопасности Qualys по адресу
https://www.qualys.com/2019/01/09/system-down/system-down.txthttps://www.qualys.com/2019/01/09/system-down/system-down.txt">https://www.qualys.com/2019/01/09/system-down/system-down.txt /> В стабильном выпуске (stretch) эти проблемы были исправлены в
версии 232-25+deb9u7.
Рекомендуется обновить пакеты systemd.
С подробным статусом поддержки безопасности systemd можно ознакомиться на
соответствующей странице отслеживания безопасности по адресу
https://security-tracker.debian.org/tracker/systemd">https://security-tracker.debian.org/tracker/systemd">https://security-tracker.debian.org/tracker/systemd
Как исправить
Проблема может быть решена обновлением операционной системыдо следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 9:
noarch:
libnss-myhostname - 232-25+deb9u7
libnss-mymachines - 232-25+deb9u7
libnss-resolve - 232-25+deb9u7
libnss-systemd - 232-25+deb9u7
libpam-systemd - 232-25+deb9u7
libsystemd-dev - 232-25+deb9u7
libsystemd0 - 232-25+deb9u7
libudev-dev - 232-25+deb9u7
libudev1 - 232-25+deb9u7
systemd - 232-25+deb9u7
systemd-container - 232-25+deb9u7
systemd-coredump - 232-25+deb9u7
systemd-journal-remote - 232-25+deb9u7
systemd-sysv - 232-25+deb9u7
udev - 232-25+deb9u7
Ссылки
http://www.debian.org/security/dsa-4367/

Источник: CVE
Наименование: CVE-2018-16864
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-16864

Источник: CVE
Наименование: CVE-2018-16865
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-16865

Источник: CVE
Наименование: CVE-2018-16866
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-16866