Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-01973

Опубликовано: 25 фев. 2022
Источник: fstec
CVSS3: 9.1
CVSS2: 9.4
EPSS Низкий

Описание

Уязвимость реализации функции zipx_lzma_alone_init() библиотеки архивирования libarchive связана с чтением за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, раскрыть защищаемую информацию или вызвать отказ в обслуживании

Вендор

ООО «Ред Софт»
ООО «РусБИТех-Астра»
ФССП России
АО «ИВК»
Сообщество свободного программного обеспечения
АО "НППКТ"

Наименование ПО

РЕД ОС
Astra Linux Special Edition
ОС ТД АИС ФССП России
Альт 8 СП
libarchive
ОСОН ОСнова Оnyx

Версия ПО

7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
ИК6 (ОС ТД АИС ФССП России)
- (Альт 8 СП)
3.6.0 (libarchive)
4.7 (Astra Linux Special Edition)
до 2.6 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ФССП России ОС ТД АИС ФССП России ИК6
АО «ИВК» Альт 8 СП -
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО "НППКТ" ОСОН ОСнова Оnyx до 2.6

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,4)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,1)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Организационные меры:
- ограничение доступа недоверенных пользователей к терминалу Linux;
- использование замкнутой программной среды;
- использование средств антивирусной защиты;
- запрет открытия файлов (архивов и любых форматов-контейнеров), полученных из недоверенных источников
Использование рекомендаций:
Для libarchive:
https://github.com/libarchive/libarchive/issues/1672
https://github.com/libarchive/libarchive/commit/cfaa28168a07ea4a53276b63068f94fce37d6aff
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения libarchive до версии 3.6.0-1osnova1u1
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для ОС Astra Linux:
обновить пакет libarchive до 3.7.4-0astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17
Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет libarchive до 3.7.4-0astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 30%
0.00108
Низкий

9.1 Critical

CVSS3

9.4 Critical

CVSS2

Связанные уязвимости

redos логотип

ROS-20220516-03

redos
около 3 лет назад

Уязвимость libarchive

ubuntu логотип

CVE-2022-26280

CVSS3: 6.5
ubuntu
около 3 лет назад

Libarchive v3.6.0 was discovered to contain an out-of-bounds read via the component zipx_lzma_alone_init.

redhat логотип

CVE-2022-26280

CVSS3: 6.5
redhat
около 3 лет назад

Libarchive v3.6.0 was discovered to contain an out-of-bounds read via the component zipx_lzma_alone_init.

nvd логотип

CVE-2022-26280

CVSS3: 6.5
nvd
около 3 лет назад

Libarchive v3.6.0 was discovered to contain an out-of-bounds read via the component zipx_lzma_alone_init.

msrc логотип

CVE-2022-26280

CVSS3: 6.5
msrc
около 3 лет назад

Описание отсутствует

EPSS

Процентиль: 30%
0.00108
Низкий

9.1 Critical

CVSS3

9.4 Critical

CVSS2