Уязвимость библиотеки libxcb операционных систем ALT Linux, ROSA Linux, МСВСфера связана с отсутствием проверки правильности входных параметров для экспортной функции xcb_get_property_value_end. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании приложения, использующего в своей работе библиотеку libxcb, путем ввода некорректных параметров экспортной функции
Для ОС ALT Linux СПТ 6.0:
Компенсирующие меры: переход на использование ОС Альт Линукс СПТ 7.0 или ОС Альт 8 СП
Для ОС ROSA Linux DX «ХРОМ» 1.0:
Компенсирующие меры: переход на использование ОС ROSA Linux «КОБАЛЬТ»
Для ОС ROSA Linux «КОБАЛЬТ»:
Обновление библиотеки libxcb до версии 1.11-4. res7Co.x86_64
Для МСВСфера 6.3 АРМ:
Компенсирующие меры:
1. Выполнение требований раздела 15 «Указания по эксплуатации» Формуляра на ОС МСВСфера 6.3 АРМ в части:
- настройка, использование и контроль средств защиты информации изделия должны проводиться ответственными за эксплуатацию изделия (администраторами) в соответствии с утвержденной политикой безопасности организации, организационно-методическими документами принятой
системы защиты информации, руководством администратора и настоящим формуляром;
- администратору необходимо произвести настройку Изделия в соответствии с рекомендациями раздела 5 «Дополнительные настройки безопасности» документа «Руководство администратора ЦАУВ.14001-01 91 01 Дополнение № 1» и исключить использование потенциально уязвимых служб SNMP, LDAP, memcached в соответствии с рекомендациями раздела 2 «Настройка и ограничение программной среды» дополнения № 1 к руководству администратора;
- в среде функционирования изделия должны быть реализованы мероприятия, направленные на достижение целей безопасности для среды, идентифицированных в задании по безопасности на изделие.
2. Дополнительные меры:
- устанавливаемое в систему новое ПО должно быть доверенным, т.е. удовлетворяющим требованиям доверия, изложенным в ГОСТ Р 15408 и в приложении к приказу ФСТЭК России от 30 июля 2018 г. № 131, если оно содержит встроенные средства защиты информации, или требованиям доверия, изложенным в ГОСТ Р 5458 с учетом принятой политики безопасности организации, если оно не содержит встроенные средства защиты информации;
- пользователи не должны иметь возможность доступа к использованию инструментальных средств разработки приложений с последующим их запуском в соответствии с рекомендациями раздела 2 «Настройка и ограничение программной среды» дополнения № 1 к руководству администратора
| Балл | 4.6 — средняя опасность |