DoS-уязвимость в Net-SNMP

В пакете Net-SNMP, реализующем протоколы SNMP v1, SNMP v2c и SNMP v3, выявлены две уязвимости (CVE-2018-18066, CVE-2018-18065), позволяющие инициировать отказ в обслуживании через отправку специально оформленного запроса без прохождения аутентификации. Для эксплуатации уязвимостей достаточно знать строку с community (обычно "public").

Проблема проявляется во всех актуальных стабильных выпусках, включая последний релиз 5.7.3. Исправления пока доступны только в тестовом выпуске net-snmp 5.8 или в виде патчей (1, 2). Уязвимость CVE-2018-18066 блокируется патчем, принятым в 2015 году в SUSE, Ubuntu, RHEL и Debian для закрытия уязвимости CVE-2015-5621. Проблема CVE-2018-18065 остаётся неисправленной.

10/09/2018 13:53:03
0

комментарии (0)