Описание
Уязвимость функции libtom библиотеки libtommath связана с целочисленным переполнением. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
Вендор
Сообщество свободного программного обеспечения
Canonical Ltd.
ООО «Ред Софт»
ООО «РусБИТех-Астра»
Fedora Project
АО «НТЦ ИТ РОСА»
АО «ИВК»
АО "НППКТ"
Наименование ПО
Debian GNU/Linux
Ubuntu
РЕД ОС
Astra Linux Special Edition
Fedora
РОСА Кобальт
libtommath
АЛЬТ СП 10
ОСОН ОСнова Оnyx
Версия ПО
10 (Debian GNU/Linux)
20.04 LTS (Ubuntu)
16.04 ESM (Ubuntu)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
22.04 LTS (Ubuntu)
37 (Fedora)
4.7 (Astra Linux Special Edition)
7.9 (РОСА Кобальт)
38 (Fedora)
39 (Fedora)
18.04 ESM (Ubuntu)
23.04 (Ubuntu)
до 2023-05-09 (libtommath)
- (АЛЬТ СП 10)
до 2.11 (ОСОН ОСнова Оnyx)
Тип ПО
Операционная система
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Canonical Ltd. Ubuntu 20.04 LTS
Canonical Ltd. Ubuntu 16.04 ESM
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
Canonical Ltd. Ubuntu 22.04 LTS
Fedora Project Fedora 37
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО «НТЦ ИТ РОСА» РОСА Кобальт 7.9
Fedora Project Fedora 38
Fedora Project Fedora 39
Canonical Ltd. Ubuntu 18.04 ESM
Canonical Ltd. Ubuntu 23.04
АО «ИВК» АЛЬТ СП 10 -
АО "НППКТ" ОСОН ОСнова Оnyx до 2.11
Уровень опасности уязвимости
Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование антивирусного программного обеспечения для проверки файлов, полученных из недоверенных источников;
- использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности удалённого доступа;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).
Использование рекомендаций производителя:
Для libtommath:
https://github.com/libtom/libtommath/pull/546
https://github.com/libtom/libtommath/commit/beba892bc0d4e4ded4d667ab1d2a94f4d75109a9
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-36328
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/3H2PFUTBKQUDSOJXQQS7LUSZQWT3JTW2/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/46GORAXZ34MHQNUGJBKS7PJ5NSMIAJGC/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/6ZUPWZGPFJ4JOI2NIP7YLRKZD5YXQTBK/
Для Ubuntu:
https://ubuntu.com/security/notices/USN-6402-1
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС Astra Linux Special Edition 1.7 архитектуры x86-64:
обновить пакет libtommath до 1.1.0-3+ci202310101236+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0212SE17
Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства
Для Astra Linux Special Edition 4.7:
обновить пакет libtommath до 1.1.0-3+ci202310101236+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47
Для ОСОН ОСнова Оnyx (2.11):
Обновление программного обеспечения libtommath до версии 1.1.0-3osnova1
Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2529
Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2529
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 61%
0.00414
Низкий
9.8 Critical
CVSS3
10 Critical
CVSS2
Связанные уязвимости
CVSS3: 9.8
ubuntu
почти 2 года назад
Integer Overflow vulnerability in mp_grow in libtom libtommath before commit beba892bc0d4e4ded4d667ab1d2a94f4d75109a9, allows attackers to execute arbitrary code and cause a denial of service (DoS).
CVSS3: 9.8
nvd
почти 2 года назад
Integer Overflow vulnerability in mp_grow in libtom libtommath before commit beba892bc0d4e4ded4d667ab1d2a94f4d75109a9, allows attackers to execute arbitrary code and cause a denial of service (DoS).
CVSS3: 9.8
debian
почти 2 года назад
Integer Overflow vulnerability in mp_grow in libtom libtommath before ...
EPSS
Процентиль: 61%
0.00414
Низкий
9.8 Critical
CVSS3
10 Critical
CVSS2