Уязвимость криптографической хэш-функции SHA-3 программного пакета eXtended Keccak Code Package (XKCP) связана с ошибками при блочной обработке входных данных и приведении типов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код в процессе вычисления хэша с помощью специально сформированных данных
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
замена встроенной хеш-библиотеки проверенными реализациями из HACL;
- ограничение максимального размера данных, участвующих в одной итерации вычисления хэша.
Использование рекомендаций:
https://github.com/XKCP/XKCP/security/advisories/GHSA-6w4m-2xhg-2658
https://github.com/XKCP/XKCP/commit/fdc6fef075f4e81d6b1bc38364248975e08e340a
Установка обновления для модуля XKCP:
https://github.com/XKCP/XKCP/commit/fdc6fef075f4e81d6b1bc38364248975e08e340a
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-37454
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-37454
Для программных продуктов Python Software Foundation:
https://github.com/python/cpython/issues/98517
https://github.com/python/cpython/commit/0e4e058602d93b88256ff90bbef501ba20be9dd3
https://github.com/python/cpython/commit/857efee6d2d43c5c12fc7e377ce437144c728ab8
https://github.com/python/cpython/commit/948c6794711458fd148a3fa62296cadeeb2ed631
https://github.com/python/cpython/commit/8088c90044ba04cd5624b278340ebf934dbee4a5
https://github.com/python/cpython/commit/6fe2a75b645044ca2b5dac03e8d850567b547a9a
Для Ubuntu:
https://ubuntu.com/security/notices/USN-5717-1
https://ubuntu.com/security/notices/USN-5767-1
https://ubuntu.com/security/notices/USN-5888-1
https://ubuntu.com/security/notices/USN-5767-3
https://ubuntu.com/security/notices/USN-5930-1
https://ubuntu.com/security/notices/USN-5931-1
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/3ALQ6BDDPX5HU5YBQOBMDVAA2TSGDKIJ/
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/CMIEXLMTW5GO36HTFFWIPB3OHZXCT3G4/
Для PHP Group:
https://bugs.php.net/bug.php?id=81738
https://github.com/php/php-src/commit/91663a92d1697fc30a7ba4687d73e0f63ec2baa1
https://github.com/php/php-src/commit/248f647724e385bfb8d83aa5b5a5ca3c4ee2c7fd
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для ОСОН ОСнова Оnyx (версия 2.7):
Обновление программного обеспечения php7.3 до версии 7.3.31-1~deb10u2.osnova10
Обновление программного обеспечения python3.7 до версии 3.7.3-2+deb10u4.osnova10
Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD
Для Astra Linux Special Edition для архитектуры ARM для 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2676
Обновление программного обеспечения python3.9 до версии 3.9.23-1.osnova2u1
| Балл | 10 — критическая опасность |