ГлавнаяБаза уязвимостей БДУ → BDU:2022-02113
7.1высокая

BDU:2022-02113 (CVE-2022-1271)

Уязвимость библиотеки gzip, связанная с ошибками при обработке имен файлов, позволяющая нарушителю записать произвольные файлы в систему
Опубликовано: 2022-04-12
Описание

Уязвимость библиотеки gzip связана с ошибками при обработке имен файлов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, записать произвольные файлы в систему с помощью утилит командной строки zgrep и xzgrep

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Debian GNU/Linux (9)Astra Linux Special Edition (1.6 «Смоленск»)Red Hat Virtualization (4)Red Hat Enterprise Linux (8)Debian GNU/Linux (10)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Debian GNU/Linux (11)РЕД ОС (7.3)Astra Linux Special Edition (1.7)ОС ТД АИС ФССП России (ИК6)Альт 8 СПgzip (до 1.12)Astra Linux Special Edition (4.7)ОСОН ОСнова Оnyx (до 2.5)ROSA Virtualization (2.1)ОС ОН «Стрелец» (до 16.01.2023)ROSA Virtualization 3.0 (3.0)МСВСфера (9.5)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- ограничение доступа недоверенных пользователей к терминалу Linux;
- использование замкнутой программной среды;
- использование средств антивирусной защиты.

Источник информации:
https://lists.gnu.org/r/bug-gzip/2022-04/msg00011.html

Использование рекомендаций производителей:
Для gzip:
https://git.savannah.gnu.org/cgit/gzip.git/commit/?id=9d3248751178939713a39115cf68ec8a11506cc9

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-1271

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-1271

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16


Для ОСОН Основа:
Обновление программного обеспечения xz-utils до версии 5.2.5-2.1
Для ОСОН Основа:
Обновление программного обеспечения gzip до версии 1.9-3+deb10u1

Для Astra Linux Special Edition 4.7 (для архитектуры ARM):
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47

Для ОС Альт 8 СП:
установка обновления из публичного репозитория программного средства

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
- обновить пакет gzip до 1.6-5+deb9u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81
- обновить пакет xz-utils до 5.2.2-1.2+deb9u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Для ОС ОН «Стрелец»:
Обновление программного обеспечения gzip до версии 1.6-5+deb9u1
Обновление программного обеспечения xz-utils до версии 5.2.2-1.2+deb9u1

Для системы управления средой виртуализации «ROSA Virtualization» : https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2301

Для ОС Astra Linux Special Edition 1.7:
- обновить пакет gzip до 1.9-3+deb10u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17
- обновить пакет xz-utils до 5.2.4-1+deb10u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2701

Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2022:4940?lang=ru

Оценка CVSS
Балл7.1 — высокая опасность
Источники и патчи
https://lists.gnu.org/r/bug-gzip/2022-04/msg00011.htmlhttps://access.redhat.com/security/cve/cve-2022-1271https://security-tracker.debian.org/tracker/CVE-2022-1271https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-1271https://www.openwall.com/lists/oss-security/2022/04/07/8https://git.tukaani.org/?p=xz.git;a=commit;h=69d1b3fc29677af8ade8dc15dba83f0589cb63d6https://security-tracker.debian.org/tracker/CVE-2022-1271https://access.redhat.com/security/cve/cve-2022-1271
Проверьте безопасность своего сайта и почты → Полная проверка домена