ГлавнаяБаза уязвимостей БДУ → BDU:2022-02659
10критическая

BDU:2022-02659 (CVE-2022-25308)

Уязвимость библиотеки GNU FriBidi, вызванная переполнением буфера на стеке, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2022-04-27
Описание

Уязвимость библиотеки GNU FriBidi вызвана переполнением буфера на стеке. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)Red Hat Enterprise Linux (8)Debian GNU/Linux (10)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Ubuntu (20.04 LTS)Ubuntu (21.10)РЕД ОС (7.3)Astra Linux Special Edition (1.7)FriBidi (до 1.0.12)Astra Linux Special Edition (4.7)ОСОН ОСнова Оnyx (до 2.5.1)ROSA Virtualization (2.1)ОС ОН «Стрелец» (до 16.01.2023)ОС Аврора (до 5.1.4 включительно)МСВСфера (9.5)
Способ устранения

Использование рекомендаций:
Для GNU FriBidi:
https://github.com/fribidi/fribidi/commit/ad3a19e6372b1e667128ed1ea2f49919884587e1

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-25308

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-25308

Для Ubuntu:
https://ubuntu.com/security/CVE-2022-25308

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16

Для ОСОН Основа:
Обновление программного обеспечения fribidi до версии 1.0.8-2.1

Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17

Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет fribidi до 0.19.7-1+deb9u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Для ОС ОН «Стрелец»:
Обновление программного обеспечения fribidi до версии 0.19.7-1+deb9u2

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для системы управления средой виртуализации «ROSA Virtualization» : https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2290

Для ОС Аврора: https://cve.omp.ru/bb27514

Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2022:8011?lang=ru

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://ubuntu.com/security/CVE-2022-25308https://safe-surf.ru/upload/VULN/VULN-20220412.9.pdfhttps://github.com/fribidi/fribidi/commit/ad3a19e6372b1e667128ed1ea2f49919884587e1https://access.redhat.com/security/cve/cve-2022-25308https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.5.1/https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47
Проверьте безопасность своего сайта и почты → Полная проверка домена