ГлавнаяБаза уязвимостей БДУ → BDU:2022-02695
7.2высокая

BDU:2022-02695 (CVE-2022-1215)

Уязвимость функции evdev_log_msg библиотеки libinput реализации протоколов серверов отображения X.Org и Wayland, позволяющая нарушителю выполнить произвольный код с повышенными привилегиями
Опубликовано: 2022-04-27
Описание

Уязвимость функции evdev_log_msg библиотеки libinput реализации протоколов серверов отображения X.Org и Wayland связана с использованием неконтролируемых форматных строк. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код с повышенными привилегиями

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Ubuntu (18.04 LTS)Red Hat Enterprise Linux (8.0)Debian GNU/Linux (10)Ubuntu (20.04 LTS)OpenSUSE Leap (15.3)Debian GNU/Linux (11)Ubuntu (21.10)РЕД ОС (7.3)Astra Linux Special Edition (1.7)ОС ТД АИС ФССП России (ИК6)libinput (до 1.20.1)Astra Linux Special Edition (4.7)ROSA Virtualization (2.1)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
ограничение физического доступа к устройству в радиусе действия Bluetooth;
фильтрация строк небуквенного формата в именах подключаемых устройств (содержащих знак %).

Использование рекомендаций:
Для libinput:
https://gitlab.freedesktop.org/libinput/libinput/-/releases#1.20.1

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-1215

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-1215.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-1215

Для Ubuntu:
https://ubuntu.com/security/notices/USN-5382-1

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/

Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17

Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47

Для системы управления средой виртуализации «ROSA Virtualization» : https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2317

Оценка CVSS
Балл7.2 — высокая опасность
Источники и патчи
https://gitlab.freedesktop.org/libinput/libinput/-/releases#1.20.1https://security-tracker.debian.org/tracker/CVE-2022-1215https://www.suse.com/security/cve/CVE-2022-1215.htmlhttps://access.redhat.com/security/cve/CVE-2022-1215https://ubuntu.com/security/notices/USN-5382-1https://redos.red-soft.ru/support/secure/https://goslinux.fssp.gov.ru/2726972/https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17
Проверьте безопасность своего сайта и почты → Полная проверка домена