ГлавнаяБаза уязвимостей БДУ → BDU:2022-02660
10критическая

BDU:2022-02660 (CVE-2022-25309)

Уязвимость функции fribidi_cap_rtl_to_unicode библиотеки GNU FriBidi, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2022-04-27
Описание

Уязвимость функции fribidi_cap_rtl_to_unicode библиотеки GNU FriBidi вызвана переполнением буфера в динамической памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)Red Hat Enterprise Linux (8)Debian GNU/Linux (10)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Ubuntu (20.04 LTS)Ubuntu (21.10)РЕД ОС (7.3)Astra Linux Special Edition (1.7)FriBidi (до 1.0.12)Astra Linux Special Edition (4.7)ОСОН ОСнова Оnyx (до 2.5.1)ROSA Virtualization (2.1)ОС ОН «Стрелец» (до 16.01.2023)МСВСфера (9.5)
Способ устранения

Использование рекомендаций:
Для GNU FriBidi:
https://github.com/fribidi/fribidi/commit/f22593b82b5d1668d1997dbccd10a9c31ffea3b3

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-25309

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-25309

Для Ubuntu:
https://ubuntu.com/security/CVE-2022-25309

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16

Для ОСОН Основа:
Обновление программного обеспечения fribidi до версии 1.0.8-2.1

Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17

Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет fribidi до 0.19.7-1+deb9u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Для ОС ОН «Стрелец»:
Обновление программного обеспечения fribidi до версии 0.19.7-1+deb9u2

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для системы управления средой виртуализации «ROSA Virtualization» : https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2290

Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2022:8011?lang=ru

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://ubuntu.com/security/CVE-2022-25309https://access.redhat.com/security/cve/cve-2022-25309https://www.cybersecurity-help.cz/vdb/SB2022040808https://safe-surf.ru/upload/VULN/VULN-20220412.9.pdfhttps://github.com/fribidi/fribidi/commit/f22593b82b5d1668d1997dbccd10a9c31ffea3b3https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.5.1/https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17
Проверьте безопасность своего сайта и почты → Полная проверка домена