Лог

AVG-15 создано 29 янв 2021 11:24:37
Пакеты
+ libgcrypt
Проблемы
+ CVE-2021-3345
Статус
+ Исправлено
Уровень
+ Критический
Затронуто
+ 1.9.0-2
Исправлено
+ 1.9.1-1
Тикет
Квалифицированная рекомендация
+ Да
Рекомендации
Примечания
CVE-2021-3345 создано 29 янв 2021 11:19:36
Уровень
+ Критический
Удалённо
+ Локальный
Тип
+ Выполнение произвольного кода
Описание
+ _gcry_md_block_write в cipher / hash-common.c в libgcrypt версии 1.9.0 имеет переполнение буфера на основе кучи, когда финальная функция дайджеста устанавливает большое значение счетчика. Простое дешифрование некоторых данных может привести к переполнению буфера кучи данными, контролируемыми злоумышленником, никакая проверка или подпись не проверяются до возникновения уязвимости. Проблема исправлена ​​в версии 1.9.1.
Рекомендации
+ https://lists.gnupg.org/pipermail/gnupg-announce/2021q1/000456.html
+ https://dev.gnupg.org/T5275
+ https://git.gnupg.org/cgi-bin/gitweb.cgi?p=libgcrypt.git;a=commitdiff;h=512c0c75276949f13b6373b5c04f7065af750b08
Примечания
ASA-202101-25 отредактировано 26 янв 2021 20:14:35
Влияние
+ Любой непривилегированный пользователь может повысить привилегии, а локальный злоумышленник может определить местоположение файлов в условиях гонки.
ASA-202101-25 создано 26 янв 2021 20:10:13
AVG-14 отредактировано 26 янв 2021 20:09:11
Квалифицированная рекомендация
- Нет
+ Да
AVG-14 отредактировано 26 янв 2021 20:08:24
Статус
- Уязвимость
+ Исправлено
AVG-14 отредактировано 26 янв 2021 20:02:37
Статус
- Не пострадал
+ Уязвимость
AVG-14 отредактировано 26 янв 2021 19:53:13
Статус
- Уязвимость
+ Не пострадал
Квалифицированная рекомендация
- Да
+ Нет
AVG-14 создано 20 янв 2021 22:08:45
Пакеты
+ sudo
Проблемы
+ CVE-2021-3156
Статус
+ Уязвимость
Уровень
+ Критический
Затронуто
+ 1.9.4.p2-2
Исправлено
+ 1.9.5.p2-1
Тикет
Квалифицированная рекомендация
+ Да
Рекомендации
+ https://www.openwall.com/lists/oss-security/2021/01/11/2
Примечания
CVE-2021-3156 создано 20 янв 2021 22:01:01
Уровень
+ Критический
Удалённо
+ Локальный
Тип
+ Повышение привилегий
Описание
+ В sudo до версии 1.9.5p2 было обнаружено серьезное переполнение буфера на основе кучи, которое может использовать любой локальный пользователь. Первооткрыватель назвал его Барон Самедит. Ошибка может быть использована для повышения привилегий до root, даже если пользователь не указан в файле sudoers. Для использования ошибки аутентификация пользователя не требуется.
Рекомендации
+ https://www.sudo.ws/alerts/unescape_overflow.html
+ https://blog.qualys.com/vulnerabilities-research/2021/01/26/cve-2021-3156-heap-based-buffer-overflow-in-sudo-baron-samedit
+ https://www.openwall.com/lists/oss-security/2021/01/26/3
+ https://www.sudo.ws/repos/sudo/rev/9b97f1787804
+ https://www.sudo.ws/repos/sudo/rev/a97dc92eae6b
+ https://www.sudo.ws/repos/sudo/rev/049ad90590be
+ https://www.sudo.ws/repos/sudo/rev/09f98816fc89
+ https://www.sudo.ws/repos/sudo/rev/c125fbe68783
Примечания
© UBLinux. Все права защищены. Разработка и дизайн UB Group.