ГлавнаяБаза уязвимостей БДУ → BDU:2022-00002
10критическая

BDU:2022-00002 (CVE-2021-43527)

Уязвимость набора криптографических библиотек NSS операционной системы Amazon Linux AMI, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2022-01-04
Описание

Уязвимость набора криптографических библиотек NSS операционной системы Amazon Linux AMI связана с переполнением буфера в динамической памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Debian GNU/Linux (9)Red Hat Virtualization (4)Red Hat Enterprise Linux (8)Debian GNU/Linux (10)Red Hat Enterprise Linux (7.3 Advanced Update Support)Red Hat Enterprise Linux (7.4 Advanced Update Support)Red Hat Enterprise Linux (8.1 Extended Update Support)Red Hat Enterprise Linux (8.2 Extended Update Support)Red Hat Enterprise Linux (7.6 Advanced Update Support)Red Hat Enterprise Linux (7.6 Update Services for SAP Solutions)Red Hat Enterprise Linux (7.7 Update Services for SAP Solutions)Red Hat Enterprise Linux (7.7 Advanced Update Support)Red Hat Enterprise Linux (7.7 Telco Extended Update Support)Debian GNU/Linux (11)Amazon Linux AMI (2017.03)Red Hat Enterprise Linux (8.1 Update Services for SAP Solutions)Red Hat Enterprise Linux (8.4 Extended Update Support)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Альт 8 СПОСОН ОСнова Оnyx (до 2.4.3)ROSA Virtualization (2.1)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Для Amazon Linux AMI:
Обновите затронутые пакеты:
i686:
nss-sysinit-3.53.1-7.87.amzn1.i686
nss-devel-3.53.1-7.87.amzn1.i686
nss-pkcs11-devel-3.53.1-7.87.amzn1.i686
nss-tools-3.53.1-7.87.amzn1.i686
nss-debuginfo-3.53.1-7.87.amzn1.i686
nss-3.53.1-7.87.amzn1.i686

src:
nss-3.53.1-7.87.amzn1.src

x86_64:
nss-pkcs11-devel-3.53.1-7.87.amzn1.x86_64
nss-debuginfo-3.53.1-7.87.amzn1.x86_64
nss-tools-3.53.1-7.87.amzn1.x86_64
nss-devel-3.53.1-7.87.amzn1.x86_64
nss-sysinit-3.53.1-7.87.amzn1.x86_64
nss-3.53.1-7.87.amzn1.x86_64

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2021-43527

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2021-43527

Для Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47

Для ОСОН Основа:
Обновление программного обеспечения nss до версии 2:3.61+repack-1+deb11u2.osnova1

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для системы управления средой виртуализации «ROSA Virtualization» : https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2223

Для ОС ОН «Стрелец»:
Обновление программного обеспечения nss до версии 2:3.26.2-1.1+deb9u5

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://www.cybersecurity-help.cz/vdb/SB2021120201https://security-tracker.debian.org/tracker/CVE-2021-43527https://alas.aws.amazon.com/ALAS-2021-1552.htmlhttps://security-tracker.debian.org/tracker/CVE-2021-43527https://access.redhat.com/security/cve/CVE-2021-43527https://hg.mozilla.org/projects/nss/rev/6b3dc97a8767d9dc5c4c181597d1341d0899aa58https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47
Проверьте безопасность своего сайта и почты → Полная проверка домена