Описание
Уязвимость функции evdev_log_msg библиотеки libinput реализации протоколов серверов отображения X.Org и Wayland связана с использованием неконтролируемых форматных строк. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код с повышенными привилегиями
Вендор
Сообщество свободного программного обеспечения
Canonical Ltd.
Red Hat Inc.
Novell Inc.
ООО «Ред Софт»
ООО «РусБИТех-Астра»
ФССП России
Free Desktop
АО «НТЦ ИТ РОСА»
Наименование ПО
Debian GNU/Linux
Ubuntu
Red Hat Enterprise Linux
OpenSUSE Leap
РЕД ОС
Astra Linux Special Edition
ОС ТД АИС ФССП России
libinput
ROSA Virtualization
Версия ПО
9 (Debian GNU/Linux)
18.04 LTS (Ubuntu)
8.0 (Red Hat Enterprise Linux)
10 (Debian GNU/Linux)
20.04 LTS (Ubuntu)
15.3 (OpenSUSE Leap)
11 (Debian GNU/Linux)
21.10 (Ubuntu)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
ИК6 (ОС ТД АИС ФССП России)
до 1.20.1 (libinput)
4.7 (Astra Linux Special Edition)
2.1 (ROSA Virtualization)
Тип ПО
Операционная система
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Сообщество свободного программного обеспечения Debian GNU/Linux 9
Canonical Ltd. Ubuntu 18.04 LTS
Red Hat Inc. Red Hat Enterprise Linux 8.0
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Canonical Ltd. Ubuntu 20.04 LTS
Novell Inc. OpenSUSE Leap 15.3
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Canonical Ltd. Ubuntu 21.10
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ФССП России ОС ТД АИС ФССП России ИК6
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,2)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)
Возможные меры по устранению уязвимости
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
ограничение физического доступа к устройству в радиусе действия Bluetooth;
фильтрация строк небуквенного формата в именах подключаемых устройств (содержащих знак %).
Использование рекомендаций:
Для libinput:
https://gitlab.freedesktop.org/libinput/libinput/-/releases#1.20.1
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-1215
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-1215.html
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-1215
Для Ubuntu:
https://ubuntu.com/security/notices/USN-5382-1
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/
Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17
Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47
Для системы управления средой виртуализации «ROSA Virtualization» : https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2317
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 14%
0.00046
Низкий
7.8 High
CVSS3
7.2 High
CVSS2
EPSS
Процентиль: 14%
0.00046
Низкий
7.8 High
CVSS3
7.2 High
CVSS2