Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-07145

Опубликовано: 25 окт. 2023
Источник: fstec
CVSS3: 7.8
CVSS2: 6.8
EPSS Низкий

Описание

Уязвимость функций XIChangeDeviceProperty (Xi/xiproperty.c) и RRChangeOutputProperty (randr/rrproperty.c) сервера X Window System Xorg-server связана с возможностью записи за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании или повысить свои привилегии

Вендор

Red Hat Inc.
ООО «РусБИТех-Астра»
Сообщество свободного программного обеспечения
Novell Inc.
Canonical Ltd.
ООО «Ред Софт»
АО «ИВК»
АО «НТЦ ИТ РОСА»
X.Org Foundation
АО "НППКТ"

Наименование ПО

Red Hat Enterprise Linux
Astra Linux Special Edition
Debian GNU/Linux
Astra Linux Special Edition для «Эльбрус»
openSUSE Tumbleweed
Ubuntu
РЕД ОС
Альт 8 СП
РОСА Кобальт
РОСА ХРОМ
Xorg-server
ОСОН ОСнова Оnyx

Версия ПО

6 (Red Hat Enterprise Linux)
7 (Red Hat Enterprise Linux)
1.6 «Смоленск» (Astra Linux Special Edition)
8 (Red Hat Enterprise Linux)
10 (Debian GNU/Linux)
8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
- (openSUSE Tumbleweed)
20.04 LTS (Ubuntu)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
- (Альт 8 СП)
22.04 LTS (Ubuntu)
9 (Red Hat Enterprise Linux)
4.7 (Astra Linux Special Edition)
7.9 (РОСА Кобальт)
23.04 (Ubuntu)
12.4 (РОСА ХРОМ)
23.10 (Ubuntu)
до 23.2.2 (Xorg-server)
до 21.1.9 (Xorg-server)
до 2.9 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Сетевое средство

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 6
Red Hat Inc. Red Hat Enterprise Linux 7
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Red Hat Inc. Red Hat Enterprise Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10
ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»
Novell Inc. openSUSE Tumbleweed -
Canonical Ltd. Ubuntu 20.04 LTS
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
АО «ИВК» Альт 8 СП -
Canonical Ltd. Ubuntu 22.04 LTS
Red Hat Inc. Red Hat Enterprise Linux 9
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО «НТЦ ИТ РОСА» РОСА Кобальт 7.9
Canonical Ltd. Ubuntu 23.04
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4
Canonical Ltd. Ubuntu 23.10
АО "НППКТ" ОСОН ОСнова Оnyx до 2.9

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- минимизация пользовательских привилегий;
- отключение/удаление неиспользуемых учётных записей пользователей.
Использование рекомендаций:
Для Xorg-server:
https://gitlab.freedesktop.org/xorg/xserver/-/commit/541ab2ecd41d4d8689e71855d93e492bc554719a
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-5367
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2023-5367
Для Ubuntu:
https://ubuntu.com/security/notices/USN-6453-1
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2023-5367.html
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Astra Linux 1.6 «Смоленск»:
обновить пакет xorg-server до 2:1.20.14-1ubuntu1astra.se43 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения xorg-server до версии 2:1.20.11-1+deb11u9
Для ОС Astra Linux Special Edition 1.7 архитектуры x86-64:
обновить пакет xorg-server до 2:1.20.14-1ubuntu1astra.se43 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0212SE17
Для ОС РОСА "КОБАЛЬТ": https://abf.rosalinux.ru/advisories/ROSA-SA-2024-2325
Для Astra Linux Special Edition 4.7:
обновить пакет xorg-server до 2:1.20.14-1ubuntu1astra.se50arm или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для ОС Astra Linux:
обновить пакет xorg-server до 2:21.1.7-1ubuntu4astra.se23e2k или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20241206SE81
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2576
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2575

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 21%
0.00066
Низкий

7.8 High

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

redos логотип

ROS-20231114-02

CVSS3: 7.8
redos
почти 2 года назад

Множественные уязвимости xorg-x11-server-Xorg

ubuntu логотип

CVE-2023-5367

CVSS3: 7.8
ubuntu
почти 2 года назад

A out-of-bounds write flaw was found in the xorg-x11-server. This issue occurs due to an incorrect calculation of a buffer offset when copying data stored in the heap in the XIChangeDeviceProperty function in Xi/xiproperty.c and in RRChangeOutputProperty function in randr/rrproperty.c, allowing for possible escalation of privileges or denial of service.

redhat логотип

CVE-2023-5367

CVSS3: 7.8
redhat
почти 2 года назад

A out-of-bounds write flaw was found in the xorg-x11-server. This issue occurs due to an incorrect calculation of a buffer offset when copying data stored in the heap in the XIChangeDeviceProperty function in Xi/xiproperty.c and in RRChangeOutputProperty function in randr/rrproperty.c, allowing for possible escalation of privileges or denial of service.

nvd логотип

CVE-2023-5367

CVSS3: 7.8
nvd
почти 2 года назад

A out-of-bounds write flaw was found in the xorg-x11-server. This issue occurs due to an incorrect calculation of a buffer offset when copying data stored in the heap in the XIChangeDeviceProperty function in Xi/xiproperty.c and in RRChangeOutputProperty function in randr/rrproperty.c, allowing for possible escalation of privileges or denial of service.

msrc логотип

CVE-2023-5367

CVSS3: 7.8
msrc
почти 2 года назад

Описание отсутствует

EPSS

Процентиль: 21%
0.00066
Низкий

7.8 High

CVSS3

6.8 Medium

CVSS2