ГлавнаяБаза уязвимостей БДУ → BDU:2021-04084
6.8высокая

BDU:2021-04084

Уязвимость графического сервера X Window System, операционных систем ALT Linux, ROSA Linux, МСВСфера, позволяющая нарушителю повысить свои привилегии
Опубликовано: 2021-08-18
Описание

Уязвимость графического сервера X Window System, операционных систем ALT Linux, ROSA Linux, МСВСфера связана с недостатками контроля доступа при передачи оконных событий, инициируемых графическими приложениями с низким уровнем привилегий, в окна приложений с высокими привилегиями. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии путем передачи специально сформированных оконных событий в окна приложений, выполняющихся с правами суперпользователя

Затрагиваемое ПО и версии
X Window System (1.10.3)X Window System (1.10.4)ALT Linux (СПТ 6.0)ROSA Linux (DX «ХРОМ» 1.0)ROSA Linux («КОБАЛЬТ»)МСВСфера (APM 6.3)
Способ устранения

Для ОС ALT Linux СПТ 6.0:
Компенсирующие меры: переход на использование ОС Альт Линукс СПТ 7.0 или ОС Альт 8 СП.

Для ОС ROSA Linux «КОБАЛЬТ» и ОС ROSA Linux DX «ХРОМ» 1.0:
Компенсирующие меры:
- запретить в рамках одного сеанса графического сервера X Window авторизацию (локально или удаленно) учетной записи с ролью «Администратор», если в сеансе авторизированно более одной учетной записи с ролью «Пользователь»;
- запретить учетным записям с ролью «Пользователь» возможность к повышению привилегий до прав учетной записи root;
- запретить учетным записям с ролью «Пользователь» возможность на установку нового программного обеспечения - произвести настройку системы «Ограничения программной среды» для учетных записей с ролью «Пользователь»;
- для всех учетных записей использовать «надёжные» пароли с принудительной периодичной сменой;
- использовать в составе операционной системы сертифицированные средства антивирусной защиты, с обновляемыми вирусными базами с периодичностью не реже раз в неделю и включенным эвристическим анализом;
- при подключении к сетям общего пользования использовать сертифицированные средства межсетевого экранирования, либо утилиту firewalld из состава ОС, с настроенными правилами фильтрации сетевых пакетов;
- при настройке и использовании ОС руководствоваться требованиями и рекомендациями, указанными в эксплуатационной документации, идущей в комплекте.

Для МСВСфера 6.3 АРМ:
Компенсирующие меры:
1. Выполнение требований раздела 15 «Указания по эксплуатации» Формуляра на ОС МСВСфера 6.3 АРМ в части:
- в процессе эксплуатации изделия необходимо исключить доступ пользователей операционной системы к приложениям, выполняющимся с более высокими правами доступа, чем права, предоставленные им согласно дискреционной матрице доступа;
- администратор после окончания работы с приложениями, запущенными им с правами суперпользователя, должен завершить их работу.
2. Дополнительные меры:
- в процессе эксплуатации изделия должно осуществляться разделение полномочий (ролей) пользователей и администраторов с назначением им минимально
необходимых прав и привилегий;
- администратор должен настроить блокировку своих сеансов работы с системой по истечению заданного интервала времени бездействия, а также задавать периоды времени, в течении которых его учетная запись будет недоступна;
- администратору запрещается сообщать или передавать посторонним лицам свои личные параметры идентификации и аутентификации, а также регистрировать кого-либо в системе под своим именем и паролем. Администратор обязан незамедлительно сообщать своему руководителю об утере, компрометации своего пароля.

Оценка CVSS
Балл6.8 — высокая опасность
Проверьте безопасность своего сайта и почты → Полная проверка домена