ГлавнаяБаза уязвимостей БДУ → BDU:2021-02427
7.8высокая

BDU:2021-02427 (CVE-2021-28831)

Уязвимость реализации функции huft_free() набора UNIX-утилит командной строки BusyBox, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2021-05-12
Описание

Уязвимость реализации функции huft_free() набора UNIX-утилит командной строки BusyBox связана с недостатками обработки исключительных состояний в указателе результата huft_build. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании с помощью утилиты сжатия и восстановления файлов gzip

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Astra Linux Special Edition (1.6 «Смоленск»)РЕД ОС (7.2 Муром)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Fedora (32)Fedora (33)Fedora (34)BusyBox (до 1.32.1 включительно)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)ОСОН ОСнова Оnyx (до 2.4.3)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для BusyBox:
https://git.busybox.net/busybox/commit/?id=f25d254dfd4243698c31a4f3153d4ac72aa9e9bd

Для Ред ОС:
https://redos.red-soft.ru/updatesec/

Для Debian:
https://lists.debian.org/debian-lts-announce/2021/04/msg00001.html

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/3UDQGJRECXFS5EZVDH2OI45FMO436AC4/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/Z7ZIFKPRR32ZYA3WAA2NXFA3QHHOU6FJ/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ZASBW7QRRLY5V2R44MQ4QQM4CZIDHM2U/

Для ОС Astra Linux:
использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47

Для ОСОН Основа:
Обновление программного обеспечения busybox до версии 1:1.30.1-7ubuntu3osnova4

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет busybox до 1:1.22.0-19+deb9u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Для ОС ОН «Стрелец»:
Обновление программного обеспечения busybox до версии 1:1.22.0-19+deb9u2.osnova4

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://git.busybox.net/busybox/commit/?id=f25d254dfd4243698c31a4f3153d4ac72aa9e9bdhttps://redos.red-soft.ru/updatesec/https://lists.debian.org/debian-lts-announce/2021/04/msg00001.htmlhttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/3UDQGJRECXFS5EZVDH2OI45FMO436AC4/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/Z7ZIFKPRR32ZYA3WAA2NXFA3QHHOU6FJ/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ZASBW7QRRLY5V2R44MQ4QQM4CZIDHM2U/https://nvd.nist.gov/vuln/detail/CVE-2021-28831https://www.securitylab.ru/vulnerability/517800.php
Проверьте безопасность своего сайта и почты → Полная проверка домена