ГлавнаяБаза уязвимостей БДУ → BDU:2022-02658
10критическая

BDU:2022-02658 (CVE-2022-25310)

Уязвимость функции fribidi_remove_bidi_marks() библиотеки GNU FriBidi, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2022-04-27
Описание

Уязвимость функции fribidi_remove_bidi_marks() библиотеки GNU FriBidi существует из-за недостаточной проверки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)Red Hat Enterprise Linux (8)Debian GNU/Linux (10)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Ubuntu (20.04 LTS)Ubuntu (21.10)РЕД ОС (7.3)Astra Linux Special Edition (1.7)FriBidi (до 1.0.12)Astra Linux Special Edition (4.7)ОСОН ОСнова Оnyx (до 2.5.1)ROSA Virtualization (2.1)ОС ОН «Стрелец» (до 16.01.2023)МСВСфера (9.5)
Способ устранения

Использование рекомендаций:
Для GNU FriBidi:
https://github.com/fribidi/fribidi/commit/175850b03e1af251d705c1d04b2b9b3c1c06e48f

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-25310

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-25310

Для Ubuntu:
https://ubuntu.com/security/CVE-2022-25310

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16

Для ОСОН Основа:
Обновление программного обеспечения fribidi до версии 1.0.8-2.1

Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17

Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет fribidi до 0.19.7-1+deb9u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Для ОС ОН «Стрелец»:
Обновление программного обеспечения fribidi до версии 0.19.7-1+deb9u2

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для системы управления средой виртуализации «ROSA Virtualization» : https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2290

Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2022:8011?lang=ru

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://ubuntu.com/security/CVE-2022-25310https://www.cybersecurity-help.cz/vdb/SB2022040808https://github.com/fribidi/fribidi/commit/175850b03e1af251d705c1d04b2b9b3c1c06e48fhttps://security-tracker.debian.org/tracker/CVE-2022-25310https://access.redhat.com/security/cve/cve-2022-25310https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.5.1/https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17
Проверьте безопасность своего сайта и почты → Полная проверка домена