КиберосноваSGRC
BDU:2021-02073
Высокий

BDU:2021-02073: Уязвимость реализации IPv4/ICMPv4 стека протоколов Treck TCP/IP, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

CVSS v39.1
CVSS v29.4
Пересчитать в калькулятореОткрыть на bdu.fstec.ruК реестру

Детали уязвимости BDU:2021-02073

Описание

Уязвимость реализации IPv4/ICMPv4 стека протоколов Treck TCP/IP связана с раскрытием информации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации

Что делать с BDU:2021-02073

Высокая уязвимость (CVSS 9.1) должна быть устранена в приоритетном порядке. Рекомендуемый срок — 7 дней по приказу ФСТЭК №117. Проверьте список затронутого ПО ниже и запланируйте обновление.

Используйте калькулятор CVSS для пересчёта с учётом вашей среды. Автоматизируйте мониторинг через модуль БДУ ФСТЭК в КиберОснова.

Оценка критичности (CVSS)

v3.1
9.1Критический
Пересчитать →
v2
9.4
Только просмотр
AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:HAV:N/AC:L/Au:N/C:C/I:N/A:C

CWE — тип уязвимости

CWE-200

CVE — международный идентификатор

CVE-2020-11898
CWE-200
Раскрытие информации

Программа непреднамеренно раскрывает конфиденциальные данные: стек вызовов, пути, credentials.

Как атакуют и что делать ▾

Сценарий атаки

Сервер возвращает стек вызовов, пути к файлам, версии ПО, SQL-запросы в сообщениях об ошибках.

Последствия

Утечка внутренней архитектуры, помогает атакующему планировать дальнейшие шаги.

Рекомендации

Отключите подробные ошибки в production, используйте generic error pages, логируйте на сервере.

Тактики и техники

Несанкционированный сбор информации

Уязвимое ПО (148)

ВендорНазваниеВерсияПлатформа
Treck Inc.Treck TCP/IPдо 6.0.1.66Не указана
Cisco Systems Inc.ASR 5000до 21.5.27Не указана
Cisco Systems Inc.ASR 5500до 21.20.2Не указана
Cisco Systems Inc.Cisco Virtual Packet Coreдо 21.20.2Не указана
HP Inc.HP Color Laser MFP 178/179до 3.82.01.08Не указана
HP Inc.HP Color LaserJet Pro M154до 20200612Не указана
HP Inc.HP Color LaserJet Pro M155до 20200603Не указана
HP Inc.HP Color LaserJet Pro M252до 20200623Не указана
HP Inc.HP Color LaserJet Pro M254до 20200612Не указана
HP Inc.HP Color LaserJet Pro M255до 20200603Не указана
HP Inc.HP Color LaserJet Pro M452до 20200612Не указана
HP Inc.HP Coolor LaserJet Pro MFP M176до 20200531Не указана
HP Inc.HP Coolor LaserJet Pro MFP M177до 20200531Не указана
HP Inc.HP Color LaserJet Pro MFP M180до 20200612Не указана
HP Inc.HP Color LaserJet Pro MFP M181до 20200612Не указана
HP Inc.HP Color LaserJet Pro MFP M182до 20200603Не указана
HP Inc.HP Color LaserJet Pro MFP M183до 20200603Не указана
HP Inc.HP Color LaserJet Pro MFP M277до 20200623Не указана
HP Inc.HP Color LaserJet Pro MFP M274до 20200623Не указана
HP Inc.HP Color LaserJet Pro MFP M280до 20200612Не указана
HP Inc.HP Color LaserJet Pro MFP M281до 20200612Не указана
HP Inc.HP Color LaserJet Pro MFP M282до 20200603Не указана
HP Inc.HP Color LaserJet Pro MFP M283до 20200603Не указана
HP Inc.HP Color LaserJet Pro MFP M377до 20200612Не указана
HP Inc.HP Color LaserJet Pro MFP M477до 20200612Не указана
HP Inc.HP Laser MFP 133до 3.82.01.11Не указана
HP Inc.HP Laser MFP 135до 3.82.01.11Не указана
HP Inc.HP Laser MFP 137до 3.82.01.11Не указана
HP Inc.HP LaserJet Pro MFP M125до 20200531Не указана
HP Inc.HP LaserJet Pro MFP M126до 20200531Не указана
HP Inc.HP LaserJet Pro MFP M127до 20200531Не указана
HP Inc.HP LaserJet Pro MFP M128до 20200531Не указана
HP Inc.HP LaserJet MFP M72625-M72630до 3.82.11.04Не указана
HP Inc.HP LaserJet Multifunction Printer series M1130до 20200617Не указана
HP Inc.HP LaserJet Multifunction Printer series M1200до 20200617Не указана
HP Inc.HP LaserJet Pro 400 M401до 20200714Не указана
HP Inc.HP LaserJet Pro 400 MFP M425до 20200714Не указана
HP Inc.HP LaserJet Pro 500 color MFP M570до 20200625Не указана
HP Inc.HP LaserJet Pro M102до 20200605Не указана
HP Inc.HP LaserJet Pro M104до 20200605Не указана
HP Inc.HP LaserJet Pro M106до 20200605Не указана
HP Inc.HP LaserJet Pro M12wдо 20200617Не указана
HP Inc.HP LaserJet Pro M15до 20200609Не указана
HP Inc.HP LaserJet Pro M16до 20200609Не указана
HP Inc.HP LaserJet Pro M17до 20200609Не указана
HP Inc.HP LaserJet Pro M201до 20200619Не указана
HP Inc.HP LaserJet Pro M202до 20200619Не указана
HP Inc.HP LaserJet Pro M206до 20200605Не указана
HP Inc.HP LaserJet Pro M118до 20200605Не указана
HP Inc.HP LaserJet Pro M225до 20200619Не указана

Показано 50 из 148

Рекомендации по устранению

Использование рекомендаций: Для Treck TCP/IP: https://www.treck.com/ Для программных продуктов Cisco Systems Inc.: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-treck-ip-stack-JyBQ5GyC Для Hewlett-Packard Development Company L.P.: https://support.hp.com/us-en/document/c06640149

Источники (1)

SLA ФСТЭК №117

24 часа

по базовой оценке CVSS 9.1

Уточните SLA под вашу среду

Базовый балл 9.1 не учитывает инфраструктуру. Задайте Environmental-метрики (CR/IR/AR) в калькуляторе — SLA пересчитается автоматически.

Пересчитать CVSS с учётом среды

Threat Intelligence

SSVC: Приоритетное устранение

Высокий риск эксплуатации. Запланируйте устранение в ближайшем окне обновлений.

EPSS — вероятность эксплуатации58.0%

Вероятность эксплуатации в 30 дней (FIRST EPSS)

Информация

Обнаружена

2020-06-17

Опубликована

2021-04-16

Обновлена

2021-04-16

Эксплойт

Существует в открытом доступе

Исправление

Уязвимость устранена

Статус

Подтверждена производителем

КиберОснова

Управляйте уязвимостями, а не таблицами

Платформа автоматически подтягивает новые записи из БДУ, привязывает к вашим активам и считает SLA по приказу №117 — без ручного мониторинга.

  • Уязвимости → активы → ответственные — цепочка за минуту
  • SLA-таймеры и эскалация — дедлайны не горят
  • PDF-отчёт для ФСТЭК — за один клик
Попробовать бесплатно

Внешние ресурсы

БДУ ФСТЭК NVD: CVE-2020-11898 MITRE: CWE-200 Каталог CPE (ФСТЭК)

Связанные уязвимости

BDU:2023-02354
Высокий
8.8

Уязвимость в функции SSH-аутентификации на основе ключей программного обеспечения Cisco StarOS, позволяющая нарушителю п

BDU:2020-03148
Средний
5.3

Уязвимость службы Enhanced Charging Service микропрограммного обеспечения маршрутизатора Cisco ASR 5000, позволяющая нар

BDU:2021-02070
Высокий
8.2

Уязвимость реализации туннелирования IPv4 стека протоколов Treck TCP/IP, связанная с повторным освобождением памяти, поз

BDU:2021-02071
Высокий
9.0

Уязвимость стека протоколов Treck TCP/IP, существующая из-за недостаточной проверки входных данных, позволяющая нарушите

BDU:2021-02072
Критический
10.0

Уязвимость реализации туннелирования IPv4 стека протоколов Treck TCP/IP, существующая из-за недостаточной проверки входн

Источник: Банк данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru). Банк данных создан в соответствии с Приказом ФСТЭК России от 16.02.2015 №9. Данные общедоступны и предоставляются на безвозмездной основе. Оператор: ФАУ «ГНИИИ ПТЗИ ФСТЭК России».

Что добавляет КиберОснова к данным БДУ ФСТЭК

CVSS v4.0 + калькулятор

Единственный бесплатный калькулятор CVSS v4.0 на русском языке

SLA по приказу №117

Автоматический расчёт сроков устранения: 24ч, 7дн, 30дн

EPSS + CISA KEV

Оценка вероятности эксплуатации и статус активных атак

Полнотекстовый поиск

По названию, CVE, CWE, описанию — русский и английский

Связанные уязвимости

Автоматический подбор по затронутому ПО

Мобильная версия

Адаптивный интерфейс для работы с телефона и планшета

Поиск по 85 000+ уязвимостямМодуль БДУ ФСТЭК

Автоматизируйте управление уязвимостями

КиберОснова SGRC: БДУ ФСТЭК + CVSS + SLA по приказу №117 в одном интерфейсе.

Калькулятор CVSS v4.0