ГлавнаяБаза уязвимостей БДУ → BDU:2021-04083
4.6средняя

BDU:2021-04083

Уязвимость библиотеки libxcb операционных систем ALT Linux, ROSA Linux, МСВСфера, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2021-08-18
Описание

Уязвимость библиотеки libxcb операционных систем ALT Linux, ROSA Linux, МСВСфера связана с отсутствием проверки правильности входных параметров для экспортной функции xcb_get_property_value_end. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании приложения, использующего в своей работе библиотеку libxcb, путем ввода некорректных параметров экспортной функции

Затрагиваемое ПО и версии
libxcb (1.5)libxcb (1.7)ALT Linux (СПТ 6.0)ROSA Linux (DX «ХРОМ» 1.0)ROSA Linux («КОБАЛЬТ»)МСВСфера (APM 6.3)
Способ устранения

Для ОС ALT Linux СПТ 6.0:
Компенсирующие меры: переход на использование ОС Альт Линукс СПТ 7.0 или ОС Альт 8 СП

Для ОС ROSA Linux DX «ХРОМ» 1.0:
Компенсирующие меры: переход на использование ОС ROSA Linux «КОБАЛЬТ»

Для ОС ROSA Linux «КОБАЛЬТ»:
Обновление библиотеки libxcb до версии 1.11-4. res7Co.x86_64

Для МСВСфера 6.3 АРМ:
Компенсирующие меры:
1. Выполнение требований раздела 15 «Указания по эксплуатации» Формуляра на ОС МСВСфера 6.3 АРМ в части:
- настройка, использование и контроль средств защиты информации изделия должны проводиться ответственными за эксплуатацию изделия (администраторами) в соответствии с утвержденной политикой безопасности организации, организационно-методическими документами принятой
системы защиты информации, руководством администратора и настоящим формуляром;
- администратору необходимо произвести настройку Изделия в соответствии с рекомендациями раздела 5 «Дополнительные настройки безопасности» документа «Руководство администратора ЦАУВ.14001-01 91 01 Дополнение № 1» и исключить использование потенциально уязвимых служб SNMP, LDAP, memcached в соответствии с рекомендациями раздела 2 «Настройка и ограничение программной среды» дополнения № 1 к руководству администратора;
- в среде функционирования изделия должны быть реализованы мероприятия, направленные на достижение целей безопасности для среды, идентифицированных в задании по безопасности на изделие.
2. Дополнительные меры:
- устанавливаемое в систему новое ПО должно быть доверенным, т.е. удовлетворяющим требованиям доверия, изложенным в ГОСТ Р 15408 и в приложении к приказу ФСТЭК России от 30 июля 2018 г. № 131, если оно содержит встроенные средства защиты информации, или требованиям доверия, изложенным в ГОСТ Р 5458 с учетом принятой политики безопасности организации, если оно не содержит встроенные средства защиты информации;
- пользователи не должны иметь возможность доступа к использованию инструментальных средств разработки приложений с последующим их запуском в соответствии с рекомендациями раздела 2 «Настройка и ограничение программной среды» дополнения № 1 к руководству администратора

Оценка CVSS
Балл4.6 — средняя опасность
Проверьте безопасность своего сайта и почты → Полная проверка домена