Описание
Уязвимость графического сервера X Window System, операционных систем ALT Linux, ROSA Linux, МСВСфера связана с отсутствием проверки создания одним приложением дочернего окна внутри окна другого приложения. Эксплуатация уязвимости может позволить нарушителю осуществить перехват клавиатурного ввода путем создания специального приложения, выполняющегося от имени низкопривилегированного пользователя, и перехватывающего данные, вводимые в окна других приложений
Вендор
X.Org Foundation
АО «ИВК»
АО «НТЦ ИТ РОСА»
ООО «НЦПР»
Наименование ПО
X Window System
ALT Linux
ROSA Linux
МСВСфера
Версия ПО
1.10.3 (X Window System)
1.10.6 (X Window System)
СПТ 6.0 (ALT Linux)
DX «ХРОМ» 1.0 (ROSA Linux)
«КОБАЛЬТ» (ROSA Linux)
APM 6.3 (МСВСфера)
Тип ПО
Прикладное ПО информационных систем
Операционная система
Операционные системы и аппаратные платформы
Сообщество свободного программного обеспечения Linux .
Сообщество свободного программного обеспечения Linux .
АО «ИВК» ALT Linux СПТ 6.0
АО «НТЦ ИТ РОСА» ROSA Linux DX «ХРОМ» 1.0
АО «НТЦ ИТ РОСА» ROSA Linux «КОБАЛЬТ»
ООО «НЦПР» МСВСфера APM 6.3
Уровень опасности уязвимости
Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5)
Возможные меры по устранению уязвимости
Для ОС ALT Linux СПТ 6.0:
Компенсирующие меры: переход на использование ОС Альт Линукс СПТ 7.0 или ОС Альт 8 СП.
Для ОС ROSA Linux «КОБАЛЬТ» и ОС ROSA Linux DX «ХРОМ» 1.0:
Компенсирующие меры:
- запретить в рамках одного сеанса графического сервера X Window авторизацию (локально или удаленно) учетной записи с ролью «Администратор», если в сеансе авторизированно более одной учетной записи с ролью «Пользователь»;
- запретить учетным записям с ролью «Пользователь» возможность к повышению привилегий до прав учетной записи root;
- запретить учетным записям с ролью «Пользователь» возможность на установку нового программного обеспечения - произвести настройку системы «Ограничения
программной среды» для учетных записей с ролью «Пользователь»;
- для всех учетных записей использовать «надёжные» пароли с принудительной периодичной сменой;
- использовать в составе операционной системы сертифицированные средства антивирусной защиты, с обновляемыми вирусными базами с периодичностью не реже раз в неделю и включенным эвристическим анализом;
- при подключении к сетям общего пользования использовать сертифицированные средства межсетевого экранирования, либо утилиту firewalld из состава ОС, с настроенными правилами фильтрации сетевых пакетов;
- при настройке и использовании ОС руководствоваться требованиями и рекомендациями, указанными в эксплуатационной документации, идущей в комплекте.
Для МСВСфера 6.3 АРМ:
Компенсирующие меры:
1. Выполнение требований раздела 15 «Указания по эксплуатации» Формуляра на ОС МСВСфера 6.3 АРМ в части:
- в процессе эксплуатации изделия необходимо исключить доступ пользователей операционной системы к приложениям, выполняющимся с более высокими правами доступа, чем права, предоставленные им согласно дискреционной матрице доступа;
- администратор после окончания работы с приложениями, запущенными им с правами суперпользователя, должен завершить их работу.
2. Дополнительные меры:
- в процессе эксплуатации изделия должно осуществляться разделение полномочий (ролей) пользователей и администраторов с назначением им минимально
необходимых прав и привилегий;
- администратор должен настроить блокировку своих сеансов работы с системой по истечению заданного интервала времени бездействия, а также задавать периоды времени, в течении которых его учетная запись будет недоступна;
- администратору запрещается сообщать или передавать посторонним лицам свои личные параметры идентификации и аутентификации, а также регистрировать кого-либо в системе под своим именем и паролем. Администратор обязан незамедлительно сообщать своему руководителю об утере, компрометации своего пароля.
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует
Информация об устранении
Уязвимость устранена
5 Medium
CVSS3
4.6 Medium
CVSS2
5 Medium
CVSS3
4.6 Medium
CVSS2