BDU:2019-04677: Уязвимость функции Coalesced_MMIO ядра операционной системы Linux, позволяющая нарушителю получить несанкционированный доступ к информации и нарушить ее целостность и доступность
Детали уязвимости BDU:2019-04677
Описание
Уязвимость функции Coalesced_MMIO ядра операционной системы Linux связана с записью за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю получить несанкционированный доступ к информации и нарушить ее целостность и доступность
Что делать с BDU:2019-04677
Уязвимость среднего уровня (CVSS 8.8) — устраните в рамках планового цикла обновлений. Рекомендуемый срок — 30 дней. Оцените применимость к вашей инфраструктуре через список затронутого ПО.
Используйте калькулятор CVSS для пересчёта с учётом вашей среды. Автоматизируйте мониторинг через модуль БДУ ФСТЭК в КиберОснова.
Оценка критичности (CVSS)
AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:HAV:L/AC:L/Au:S/C:C/I:C/A:CCWE — тип уязвимости
CVE — международный идентификатор
Программа записывает данные за пределы выделенного буфера. Может привести к выполнению произвольного кода или отказу в обслуживании.
Как атакуют и что делать ▾
Сценарий атаки
Подаётся входной буфер, превышающий выделенный размер. Данные перезаписывают соседние области памяти, включая адрес возврата.
Последствия
Выполнение произвольного кода с привилегиями процесса, полный захват системы.
Рекомендации
Используйте безопасные функции (strncpy вместо strcpy), включите ASLR/DEP/Stack Canaries, применяйте fuzzing.
Тактики и техники
Уязвимое ПО (26)
| Вендор | Название | Версия | Платформа |
|---|---|---|---|
| ООО «РусБИТех-Астра» | Astra Linux Special Edition | 1.5 «Смоленск» | Не указана |
| Canonical Ltd. | Ubuntu | 16.04 LTS | Не указана |
| АО «ИВК» | Альт Линукс СПТ | 7.0 | Не указана |
| Сообщество свободного программного обеспечения | Debian GNU/Linux | 9 | Не указана |
| Canonical Ltd. | Ubuntu | 18.04 LTS | Не указана |
| Fedora Project | Fedora | 29 | Не указана |
| Canonical Ltd. | Ubuntu | 19.04 | Не указана |
| АО «ИВК» | Альт 8 СП Сервер | - | Не указана |
| АО «ИВК» | Альт 8 СП Рабочая станция | - | Не указана |
| Novell Inc. | OpenSUSE Leap | 15.0 | Не указана |
| Novell Inc. | OpenSUSE Leap | 15.1 | Не указана |
| Fedora Project | Fedora | 30 | Не указана |
| Canonical Ltd. | Ubuntu | 14.04 ESM | Не указана |
| Сообщество свободного программного обеспечения | Debian GNU/Linux | 8 | Не указана |
| Сообщество свободного программного обеспечения | Debian GNU/Linux | 10 | Не указана |
| Oracle Corp. | Communications Applications | 7.3 | Не указана |
| Oracle Corp. | Communications Applications | 8.0 | Не указана |
| Oracle Corp. | Communications Applications | 8.1 | Не указана |
| Oracle Corp. | Communications Applications | 8.2 | Не указана |
| АО «Концерн ВНИИНС» | ОС ОН «Стрелец» | до 16.01.2023 | Не указана |
| Сообщество свободного программного обеспечения | Linux | от 4.0 до 4.4.193 включительно | Не указана |
| Сообщество свободного программного обеспечения | Linux | от 4.5 до 4.9.193 включительно | Не указана |
| Сообщество свободного программного обеспечения | Linux | от 4.10 до 4.14.145 включительно | Не указана |
| Сообщество свободного программного обеспечения | Linux | от 4.15 до 4.19.74 включительно | Не указана |
| Сообщество свободного программного обеспечения | Linux | от 4.20 до 5.2.16 включительно | Не указана |
| Сообщество свободного программного обеспечения | Linux | 5.3.0 | Не указана |
Среды функционирования (17)
| Вендор | Название | Версия | Платформа |
|---|---|---|---|
| ООО «РусБИТех-Астра» | Astra Linux Special Edition | 1.5 «Смоленск» | Не указана |
| Canonical Ltd. | Ubuntu | 16.04 LTS | Не указана |
| АО «ИВК» | Альт Линукс СПТ | 7.0 | Не указана |
| Сообщество свободного программного обеспечения | Debian GNU/Linux | 9 | Не указана |
| Canonical Ltd. | Ubuntu | 18.04 LTS | Не указана |
| Fedora Project | Fedora | 29 | Не указана |
| Canonical Ltd. | Ubuntu | 19.04 | Не указана |
| АО «ИВК» | Альт 8 СП Сервер | - | Не указана |
| АО «ИВК» | Альт 8 СП Рабочая станция | - | Не указана |
| Novell Inc. | OpenSUSE Leap | 15.0 | Не указана |
| Novell Inc. | OpenSUSE Leap | 15.1 | Не указана |
| Fedora Project | Fedora | 30 | Не указана |
| Canonical Ltd. | Ubuntu | 14.04 ESM | Не указана |
| Сообщество свободного программного обеспечения | Debian GNU/Linux | 8 | Не указана |
| Сообщество свободного программного обеспечения | Debian GNU/Linux | 10 | Не указана |
| Сообщество свободного программного обеспечения | Linux | до 5.3 включительно | Не указана |
| АО «Концерн ВНИИНС» | ОС ОН «Стрелец» | до 16.01.2023 | Не указана |
Рекомендации по устранению
Использование рекомендаций: Для Linux: https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.146 https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.75 https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.4.194 https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.194 https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.2.17 https://kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.3.1 Для Debian: Обновление программного обеспечения (пакета linux-4.9) до 4.9.189-3+deb9u1~deb8u1 или более поздней версии Для программных продуктов Oracle Corp.: https://www.oracle.com/security-alerts/cpuapr2020.html Для ALT Linux: https://cve.basealt.ru/tag/cve-2019-14821.html Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2019-14821/ Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TRZQQQANZWQMPILZV7OTS3RGGRLLE2Q7/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/YW3QNMPENPFEGVTOFPSNOBL7JEIJS25P/ Для Astra Linux: Обновление программного обеспечения (пакета linux-4.9) до 4.9.189-3+deb9u1~deb8u1 или более поздней версии Для ОС ОН «Стрелец»: Обновление программного обеспечения linux до версии 5.4.123-1~bpo10+1.osnova162.strelets
SLA ФСТЭК №117
7 дней
по базовой оценке CVSS 8.8
Уточните SLA под вашу среду
Базовый балл 8.8 не учитывает инфраструктуру. Задайте Environmental-метрики (CR/IR/AR) в калькуляторе — SLA пересчитается автоматически.
Пересчитать CVSS с учётом средыThreat Intelligence
SSVC: Отслеживать (повышенный)
Умеренный риск. Включите в плановый цикл обновлений, следите за изменением EPSS.
Вероятность эксплуатации в 30 дней (FIRST EPSS)
Информация
Обнаружена
2019-09-18
Опубликована
2019-12-17
Обновлена
2024-05-29
Эксплойт
Данные уточняются
Исправление
Уязвимость устранена
Статус
Подтверждена производителем
Управляйте уязвимостями, а не таблицами
Платформа автоматически подтягивает новые записи из БДУ, привязывает к вашим активам и считает SLA по приказу №117 — без ручного мониторинга.
- Уязвимости → активы → ответственные — цепочка за минуту
- SLA-таймеры и эскалация — дедлайны не горят
- PDF-отчёт для ФСТЭК — за один клик
Внешние ресурсы
Связанные уязвимости
BDU:2026-02403Уязвимость сервера telnetd пакета сетевых программ inetutils, позволяющая нарушителю повысить свои привилегии до уровня
BDU:2026-01726Уязвимость функции обработки типов данных oidvector системы управления базами данных PostgreSQL, позволяющая нарушителю
BDU:2026-01722Уязвимость компонента pgcrypto системы управления базами данных PostgreSQL, позволяющая нарушителю выполнить произвольны
BDU:2026-01723Уязвимость системы управления базами данных PostgreSQL, связанная с неверным индексированием массива, позволяющая наруши
BDU:2026-01727Уязвимость функции оценки избирательности расширения Intarray системы управления базами данных PostgreSQL, позволяющая н
Что добавляет КиберОснова к данным БДУ ФСТЭК
CVSS v4.0 + калькулятор
Единственный бесплатный калькулятор CVSS v4.0 на русском языке
SLA по приказу №117
Автоматический расчёт сроков устранения: 24ч, 7дн, 30дн
EPSS + CISA KEV
Оценка вероятности эксплуатации и статус активных атак
Полнотекстовый поиск
По названию, CVE, CWE, описанию — русский и английский
Связанные уязвимости
Автоматический подбор по затронутому ПО
Мобильная версия
Адаптивный интерфейс для работы с телефона и планшета
Автоматизируйте управление уязвимостями
КиберОснова SGRC: БДУ ФСТЭК + CVSS + SLA по приказу №117 в одном интерфейсе.