ГлавнаяБаза уязвимостей БДУ → BDU:2022-01635
10критическая

BDU:2022-01635 (CVE-2021-3999)

Уязвимость функции getcwd() системной библиотеки glibc, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2022-03-31
Описание

Уязвимость функции getcwd() системной библиотеки glibc связана с ошибкой единичного смещения. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с помощью отправки специально сформированных данных приложению

Затрагиваемое ПО и версии
Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)Red Hat Enterprise Linux (8)Ubuntu (20.04 LTS)Ubuntu (16.04 ESM)Ubuntu (21.10)РЕД ОС (7.3)Astra Linux Special Edition (1.7)ОС ТД АИС ФССП России (ИК6)glibc (от 2.0 до 2.34.9000)Elastic Storage System (до 6.1.4.0)IBM Cloud Pak System (до 2.3.3.5)Astra Linux Special Edition (4.7)ОСОН ОСнова Оnyx (до 2.5.1)ОС Аврора (до 4.0.2.209)ROSA Virtualization (2.1)
Способ устранения

Использование рекомнедаций:
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для glibc:
Обновление программного средства до актуальной версии

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2021-3999

Для Ubuntu:
https://ubuntu.com/security/notices/USN-5310-1
https://ubuntu.com/security/notices/USN-5310-2

Для программных продуктов IBM Corp.:
https://www.ibm.com/support/pages/node/6615957

Для программных продуктов IBM Corp.:
https://www.ibm.com/support/pages/node/6612587

Для ОС Аврора 3.2.1: https://cve.omprussia.ru/bb17321
Для ОС Аврора 3.2.2: https://cve.omprussia.ru/bb18322
Для ОС Аврора 3.2.3: https://cve.omprussia.ru/bb19323
Для ОС Аврора 4.0.2: https://cve.omprussia.ru/bb20402

Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/

Для ОСОН Основа:
Обновление программного обеспечения glibc до версии 2.28-10+deb10u1osnova0

Для Astra Linux Special Edition 4.7 (для архитектуры ARM):
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47

Для системы управления средой виртуализации «ROSA Virtualization» : https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2293

Для ОС Astra Linux Special Edition 1.7:
обновить пакет glibc до 2.28-10+deb10u1+ci202207192202+astra4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17

Для Astra Linux Special Edition 1.6 «Смоленск»::
обновить пакет glibc до 2.24-11+deb9u7+ci202410071731+astra5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://redos.red-soft.ru/support/secure/https://access.redhat.com/security/cve/CVE-2021-3999https://ubuntu.com/security/notices/USN-5310-1https://ubuntu.com/security/notices/USN-5310-2https://sourceware.org/bugzilla/show_bug.cgi?id=28769https://www.ibm.com/support/pages/node/6615957https://sourceware.org/git/gitweb.cgi?p=glibc.git;h=23e0e8f5f1fb5ed150253d986ecccdc90c2dcd5ehttps://goslinux.fssp.gov.ru/2726972/
Проверьте безопасность своего сайта и почты → Полная проверка домена