CVE-2015-7547 уязвимость в продуктах OneSpan

Консультативный ID Васко-са-20160223-Glibc

Номер ревизии 1,0

Дата выпуска 23 февраля 2016 г., 12:00 UTC + 1

Последнее обновление 23 февраля 2016 г., 12:00 UTC + 1

Резюме

Во вторник 16 февраля 2016 года инженеры Google опубликовали сообщение в блоге об уязвимости, обнаруженной во всех версиях glibc начиная с версии 2.9. В блоге объясняется, что распознаватель на стороне клиента glibc DNS уязвим к переполнению буфера в стеке при использовании библиотечной функции getaddrinfo (). Программное обеспечение, использующее эту функцию, может использоваться с доменными именами, контролируемыми злоумышленником, DNS-серверами, контролируемыми злоумышленником, или с помощью атаки «человек посередине».

Затронутые продукты

Следующие продукты подвержены уязвимости CVE-2015-7547: 

  • IDENTIKEY Федерация Сервер 1.6 
  • IDENTIKEY Appliance 3.4.5.0 и более поздние версии 
  • AXSGUARD Gatekeeper 7.7.0 и более поздние версии 

Несмотря на то, что в этих продуктах используется уязвимая версия glibc, OneSpan оценивает низкую уязвимость из-за того, как в продуктах используется распознаватель на стороне клиента DNS.

Описание

Следующее описание уязвимости извлечено из Национальной базы данных уязвимостей NIST: 

«Многочисленные переполнения стекового буфера в функциях (1) send_dg и (2) send_vc в библиотеке libresolv в библиотеке GNU C (aka glibc или libc6) до версии 2.23 позволяют удаленным злоумышленникам вызвать отказ в обслуживании (сбой) или, возможно, выполнить произвольный код с помощью специально созданного ответа DNS, который инициирует вызов функции getaddrinfo с семейством адресов AF_UNSPEC или AF_INET6, связанных с выполнением «двойных запросов A / AAAA DNS» и модулем NSS libnss_dns.so.2 ».

Оценка серьезности

В таблице ниже указана оценка уязвимости CVSS 2.0 для уязвимости CVE-2015-7547. 

Базовый балл CVSS: 6,8 (средний)
Вектор доступа Сложность доступа Аутентификация Влияние на конфиденциальность Влияние целостности Влияние доступности
сеть средний Никто частичный частичный частичный

 

Исправления продукта

OneSpan исправит уязвимость CVE-2015-7547 в следующих следующих выпусках: 

  • IDENTIKEY Federation Server 1.6.1 (будет выпущен в первом квартале 2016 года) 
  • Устройство IDENTIKEY (Virtual) 3.10.11.0 (будет выпущено во втором квартале 2016 года) 
  • AXSGUARD GateKeeper 8.2.1 (выйдет во втором квартале 2016 года) 

OneSpan рекомендует клиентам, использующим сервер аутентификации IDENTIKEY, обновить библиотеку glibc, используя систему обновления своего дистрибутива.

Место расположения

Для продуктов aXsGUARD Gatekeeper: 

- OneSpan развернет исправления через службу автоматического обновления. Клиенты, которые не позволяют своей системе получать обновления через эту службу, должны связаться с OneSpan для получения инструкций о том, как получить исправление. 

Для других продуктов: 

- Клиенты с контрактом на техническое обслуживание могут получить фиксированные выпуски продукта от MyMaintenance. Клиенты без контракта на техническое обслуживание должны связаться с местным торговым представителем.

Ссылка

Дополнительные ресурсы:

- CVE-2015-7547

- Блог безопасности Google Online

Правовая оговорка

В то время как КАЖДЫЙ РАЗУМНЫЙ УСИЛИЯ СДЕЛАН ДЛЯ ОБРАБОТКИ И ПРЕДОСТАВЛЕНИЯ ТОЧНОЙ ИНФОРМАЦИИ, ВСЕ СОДЕРЖАНИЕ И ИНФОРМАЦИЯ В НАСТОЯЩЕМ ДОКУМЕНТЕ ПРЕДОСТАВЛЯЕТСЯ «КАК ЕСТЬ» И «КАК ДОСТУПНО», БЕЗ КАКИХ-ЛИБО ПРЕДСТАВЛЕНИЯ ИЛИ ПРИГОДНОСТИ ИЛИ В СООТВЕТСТВИИ С ИСПОЛЬЗОВАНИЕМ НИКАКОГО СРОКА ПОЛНОСТЬЮ ИЛИ ПОДХОДА ИЛИ ЛЮБОЙ ГАРАНТИИ, ВКЛЮЧАЯ ГАРАНТИИ ТОВАРНОГО ОБЕСПЕЧЕНИЯ ИЛИ ПРИГОДНОСТИ ДЛЯ ОСОБЕННОГО ИСПОЛЬЗОВАНИЯ ИЛИ ЦЕЛИ. ВЫ ИСПОЛЬЗУЕТЕ ЭТОТ ДОКУМЕНТ, ПРЕДОСТАВЛЯЕТСЯ ЛЮБАЯ ИНФОРМАЦИЯ ИЛИ МАТЕРИАЛЫ, СВЯЗАННЫЕ С ЭТОМ ДОКУМЕНТОМ, НА СВОЙ СТРАХ И РИСК. VASCO оставляет за собой право изменять или обновлять информацию в этом документе в любое время и по своему усмотрению, а также когда новая или дополнительная информация становится доступной. Copyright © 2016 VASCO Data Security, Inc., VASCO Data Security International GmbH. Все права защищены.

CVE-2015-7547 уязвимость в продукте OneSpan s