ГлавнаяБаза уязвимостей БДУ → BDU:2021-01751
4.3средняя

BDU:2021-01751 (CVE-2020-24654)

Уязвимость функции emitEntryFromArchiveEntry из libarchiveplugin.cpp архиватора Ark, связанная с неверным определением ссылки перед доступом к файлу, позволяющая нарушителю оказать воздействие на целостность данных
Опубликовано: 2021-03-30
Описание

Уязвимость функции emitEntryFromArchiveEntry из libarchiveplugin.cpp архиватора Ark связана с неверным определением ссылки перед доступом к файлу. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на целостность данных через специально созданынй tar-архив

Затрагиваемое ПО и версии
Ubuntu (16.04 LTS)Debian GNU/Linux (9)Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)Astra Linux Common Edition (2.12 «Орёл»)Debian GNU/Linux (8)Debian GNU/Linux (10)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Fedora (32)Ubuntu (20.04 LTS)Fedora (33)Ark (до 20.08.1)ОСОН ОСнова Оnyx (до 2.5)
Способ устранения

Использование рекомендаций:
Для Ubuntu:
https://ubuntu.com/security/notices/USN-4482-1

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/YJOZ6YRNPZX5MJGVBMOCOA7N6Z4EU2OK/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/LXMMXNJDYOCJRZTESIUGHG6CS4RJKECX/

Для Ark:
https://github.com/KDE/ark/commit/8bf8c5ef07b0ac5e914d752681e470dea403a5bd

Для Debian:
https://security-tracker.debian.org/tracker/CVE-2020-24654

Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81

Для ОСОН Основа:
Обновление программного обеспечения ark до версии 4:18.08.3+repack2-1+deb10u2osnova1

Оценка CVSS
Балл4.3 — средняя опасность
Источники и патчи
https://github.com/KDE/ark/commit/8bf8c5ef07b0ac5e914d752681e470dea403a5bdhttps://kde.org/info/security/advisory-20200827-1.txthttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/LXMMXNJDYOCJRZTESIUGHG6CS4RJKECX/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/YJOZ6YRNPZX5MJGVBMOCOA7N6Z4EU2OK/https://nvd.nist.gov/vuln/detail/CVE-2020-24654https://security-tracker.debian.org/tracker/CVE-2020-24654https://ubuntu.com/security/notices/USN-4482-1https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16
Проверьте безопасность своего сайта и почты → Полная проверка домена