ГлавнаяБаза уязвимостей БДУ → BDU:2021-05090
6.8высокая

BDU:2021-05090

Уязвимость компонента dstring.c пакета cpio операционной системы Debian GNU/Linux, позволяющая нарушителю выполнить произвольный код через созданный файл
Опубликовано: 2021-10-21
Описание

Уязвимость компонента dstring.c пакета cpio операционной системы Debian GNU/Linux вызвана целочисленным переполнением. Эксплуатация уязвимости может позволить нарушителю вызвать переполнение стека через созданный файл

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Ubuntu (18.04 LTS)Red Hat Enterprise Linux (8)Debian GNU/Linux (10)Ubuntu (20.04 LTS)OpenSUSE Leap (15.2)Ubuntu (21.04)OpenSUSE Leap (15.3)ОС ОН «Стрелец» (1.0)Debian GNU/Linux (11)Сpio (до 2.13 включительно)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Альт 8 СПAstra Linux Special Edition (4.7)ОСОН ОСнова Оnyx (до 2.5)Astra Linux Common Edition (1.6 «Смоленск»)АЛЬТ СП 10ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
https://lists.gnu.org/archive/html/bug-cpio/2021-08/msg00002.html
https://lists.gnu.org/archive/html/bug-cpio/2021-08/msg00000.html
https://git.savannah.gnu.org/cgit/cpio.git/commit/?id=dd96882877721703e19272fe25034560b794061b
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2021-38185
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/hydra/rest/securitydata/cve/CVE-2021-38185.xml
Для Ubuntu
https://ubuntu.com/security/CVE-2021-38185
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2021-38185

Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#08122021

Для ОС Astra Linux:
использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47

Для ОСОН Основа:
Обновление программного обеспечения cpio до версии 2.13+dfsg-7

Для ОС ОН «Стрелец»:
Обновление программного обеспечения cpio до версии 2.12+dfsg-6ubuntu0.18.04.4
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Для ОС Astra Linux:
обновить пакет cpio до 2.11+dfsg-6+deb9u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16

Оценка CVSS
Балл6.8 — высокая опасность
Источники и патчи
https://git.savannah.gnu.org/cgit/cpio.git/commit/?id=dd96882877721703e19272fe25034560b794061bhttps://github.com/fangqyi/cpiopwnhttps://lists.gnu.org/archive/html/bug-cpio/2021-08/msg00000.htmlhttps://lists.gnu.org/archive/html/bug-cpio/2021-08/msg00002.htmlhttps://strelets.net/patchi-i-obnovleniya-bezopasnosti#08122021https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.5/https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023
Проверьте безопасность своего сайта и почты → Полная проверка домена