Описание
Уязвимость библиотеки libxcb операционных систем ALT Linux, ROSA Linux, МСВСфера связана с отсутствием проверки правильности входных параметров для экспортной функции xcb_get_property_value_end. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании приложения, использующего в своей работе библиотеку libxcb, путем ввода некорректных параметров экспортной функции
Вендор
X.Org Foundation
АО «ИВК»
АО «НТЦ ИТ РОСА»
ООО «НЦПР»
Наименование ПО
libxcb
ALT Linux
ROSA Linux
МСВСфера
Версия ПО
1.5 (libxcb)
1.7 (libxcb)
СПТ 6.0 (ALT Linux)
DX «ХРОМ» 1.0 (ROSA Linux)
«КОБАЛЬТ» (ROSA Linux)
APM 6.3 (МСВСфера)
Тип ПО
Прикладное ПО информационных систем
Операционная система
Операционные системы и аппаратные платформы
Сообщество свободного программного обеспечения Linux .
АО «ИВК» ALT Linux СПТ 6.0
АО «НТЦ ИТ РОСА» ROSA Linux DX «ХРОМ» 1.0
АО «НТЦ ИТ РОСА» ROSA Linux «КОБАЛЬТ»
ООО «НЦПР» МСВСфера APM 6.3
Уровень опасности уязвимости
Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5)
Возможные меры по устранению уязвимости
Для ОС ALT Linux СПТ 6.0:
Компенсирующие меры: переход на использование ОС Альт Линукс СПТ 7.0 или ОС Альт 8 СП
Для ОС ROSA Linux DX «ХРОМ» 1.0:
Компенсирующие меры: переход на использование ОС ROSA Linux «КОБАЛЬТ»
Для ОС ROSA Linux «КОБАЛЬТ»:
Обновление библиотеки libxcb до версии 1.11-4. res7Co.x86_64
Для МСВСфера 6.3 АРМ:
Компенсирующие меры:
1. Выполнение требований раздела 15 «Указания по эксплуатации» Формуляра на ОС МСВСфера 6.3 АРМ в части:
- настройка, использование и контроль средств защиты информации изделия должны проводиться ответственными за эксплуатацию изделия (администраторами) в соответствии с утвержденной политикой безопасности организации, организационно-методическими документами принятой
системы защиты информации, руководством администратора и настоящим формуляром;
- администратору необходимо произвести настройку Изделия в соответствии с рекомендациями раздела 5 «Дополнительные настройки безопасности» документа «Руководство администратора ЦАУВ.14001-01 91 01 Дополнение № 1» и исключить использование потенциально уязвимых служб SNMP, LDAP, memcached в соответствии с рекомендациями раздела 2 «Настройка и ограничение программной среды» дополнения № 1 к руководству администратора;
- в среде функционирования изделия должны быть реализованы мероприятия, направленные на достижение целей безопасности для среды, идентифицированных в задании по безопасности на изделие.
2. Дополнительные меры:
- устанавливаемое в систему новое ПО должно быть доверенным, т.е. удовлетворяющим требованиям доверия, изложенным в ГОСТ Р 15408 и в приложении к приказу ФСТЭК России от 30 июля 2018 г. № 131, если оно содержит встроенные средства защиты информации, или требованиям доверия, изложенным в ГОСТ Р 5458 с учетом принятой политики безопасности организации, если оно не содержит встроенные средства защиты информации;
- пользователи не должны иметь возможность доступа к использованию инструментальных средств разработки приложений с последующим их запуском в соответствии с рекомендациями раздела 2 «Настройка и ограничение программной среды» дополнения № 1 к руководству администратора
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует
Информация об устранении
Уязвимость устранена
5 Medium
CVSS3
4.6 Medium
CVSS2
5 Medium
CVSS3
4.6 Medium
CVSS2