Описание
Уязвимость библиотеки предоставляющей функции для работы с сертификатами X.509 LibKSBA связана с целочисленным переполнением в синтаксическом анализаторе CRL. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, передать приложению специально созданные данные, вызвать целочисленное переполнение и выполнить произвольный код в целевой системе
Вендор
ООО «РусБИТех-Астра»
Сообщество свободного программного обеспечения
ООО «Ред Софт»
АО «ИВК»
АО "НППКТ"
АО «НТЦ ИТ РОСА»
ООО «Открытая мобильная платформа»
Наименование ПО
Astra Linux Special Edition
Debian GNU/Linux
РЕД ОС
Альт 8 СП
LibKSBA
ОСОН ОСнова Оnyx
РОСА Кобальт
ROSA Virtualization
РОСА ХРОМ
ОС Аврора
Версия ПО
1.6 «Смоленск» (Astra Linux Special Edition)
10 (Debian GNU/Linux)
11 (Debian GNU/Linux)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
- (Альт 8 СП)
4.7 (Astra Linux Special Edition)
от 0.9.13 до 1.6.2 включительно (LibKSBA)
до 2.7 (ОСОН ОСнова Оnyx)
7.9 (РОСА Кобальт)
2.1 (ROSA Virtualization)
12.4 (РОСА ХРОМ)
до 5.1.4 включительно (ОС Аврора)
Тип ПО
Операционная система
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Сообщество свободного программного обеспечения Debian GNU/Linux 11
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
АО «ИВК» Альт 8 СП -
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО "НППКТ" ОСОН ОСнова Оnyx до 2.7
АО «НТЦ ИТ РОСА» РОСА Кобальт 7.9
АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4
ООО «Открытая мобильная платформа» ОС Аврора до 5.1.4 включительно
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,1)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Libksba:
https://git.gnupg.org/cgi-bin/gitweb.cgi?p=libksba.git;a=commit;h=f61a5ea4e0f6a80fd4b28ef0174bee77793cf070
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС РОСА "КОБАЛЬТ": https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2129
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-47629
Для ОСОН ОСнова Оnyx (версия 2.7):
Обновление программного обеспечения libksba до версии 1.3.5-2+deb10u2
Для Astra Linux Special Edition 1.7:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD
Для Astra Linux Special Edition для архитектуры ARM для 4.7:
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD
Для операционной системы РОСА ХРОМ:
https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2170
Для системы управления средой виртуализации «ROSA Virtualization» : https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2193
Для Astra Linux 1.6 «Смоленск»:
обновить пакет libksba до 1.3.5-2+deb10u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/
Для ОС Аврора: https://cve.omp.ru/bb27514
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 79%
0.01319
Низкий
8.1 High
CVSS3
7.6 High
CVSS2
Связанные уязвимости
CVSS3: 9.8
ubuntu
почти 3 года назад
Libksba before 1.6.3 is prone to an integer overflow vulnerability in the CRL signature parser.
CVSS3: 8.6
redhat
около 3 лет назад
Libksba before 1.6.3 is prone to an integer overflow vulnerability in the CRL signature parser.
CVSS3: 9.8
nvd
почти 3 года назад
Libksba before 1.6.3 is prone to an integer overflow vulnerability in the CRL signature parser.
CVSS3: 9.8
debian
почти 3 года назад
Libksba before 1.6.3 is prone to an integer overflow vulnerability in ...
EPSS
Процентиль: 79%
0.01319
Низкий
8.1 High
CVSS3
7.6 High
CVSS2