ГлавнаяБаза уязвимостей БДУ → BDU:2021-02957
9высокая

BDU:2021-02957 (CVE-2021-28091)

Уязвимость библиотеки Lasso, связанная с небезопасным управлением привилегиями, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
Опубликовано: 2021-06-10
Описание

Уязвимость библиотеки Lasso связана с небезопасным управлением привилегиями. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Ubuntu (18.04 LTS)Red Hat Enterprise Linux (8)Debian GNU/Linux (10)Ubuntu (20.04 LTS)Ubuntu (20.10)Ubuntu (21.04)Lasso (до 2.7.0)РЕД ОС (7.3)Альт 8 СПОСОН ОСнова Оnyx (до 2.1)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для Lasso:
https://lasso.entrouvert.org/

Для Ubuntu:
https://ubuntu.com/security/notices/USN-4974-1?_ga=2.26503933.1168611113.1622636774-757486233.1579171413

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2021-28091

Для Debian GNU/Linux:
https://www.debian.org/security/2021/dsa-4926

Для Альт 8 СП:
https://altsp.su/obnovleniya-bezopasnosti/

Для ОСОН Основа:
Обновление программного обеспечения lasso до версии 2.6.0-2+deb10u1

Для ОС ОН «Стрелец»:
Обновление программного обеспечения lasso до версии 2.5.0-5+deb9u1
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Оценка CVSS
Балл9 — высокая опасность
Источники и патчи
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-lasso-saml-jun2021-DOXNRLkD?vs_f=Cisco%20Security%20Advisory&vs_cat=Security%20Intelligence&vs_type=RSS&vs_p=Lasso%20SAML%20Implementation%20Vulnerability%20Affecting%20Cisco%20Products:%20June%202021&vs_k=1https://lasso.entrouvert.org/https://ubuntu.com/security/notices/USN-4974-1?_ga=2.26503933.1168611113.1622636774-757486233.1579171413https://access.redhat.com/security/cve/cve-2021-28091https://altsp.su/obnovleniya-bezopasnosti/https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.1/https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Проверьте безопасность своего сайта и почты → Полная проверка домена