ГлавнаяБаза уязвимостей БДУ → BDU:2022-06607
6.8высокая

BDU:2022-06607 (CVE-2022-40284)

Уязвимость утилиты ntfs-3g набора драйверов NTFS-3G реализации файловой системы NTFS, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2022-11-02
Описание

Уязвимость утилиты ntfs-3g набора драйверов NTFS-3G реализации файловой системы NTFS связана с ошибками при обработке метаданных. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код

Затрагиваемое ПО и версии
РЕД ОС (7.3)Astra Linux Special Edition (1.7)ОС ТД АИС ФССП России (ИК6)Альт 8 СПAstra Linux Special Edition (4.7)NTFS-3G (до 2022.10.3)ОСОН ОСнова Оnyx (до 2.7)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- отключение возможности автоматического монтирования NTFS-разделов;
- ограничение возможности подключения недоверенных USB-устройств.

Использование рекомендаций:
https://github.com/tuxera/ntfs-3g/commit/18bfc676119a1188e8135287b8327b0760ba44a1
https://github.com/tuxera/ntfs-3g/commit/76c3a799a97fbcedeeeca57f598be508ae2a1656

Для РЕД ОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОС Astra Linux Special Edition 1.7:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1221SE17MD

Для ОСОН ОСнова Оnyx (версия 2.7):
Обновление программного обеспечения ntfs-3g до версии 1:2017.3.23AR.3-3+deb10u3

Для ОС Astra Linux Special Edition 4.7 для архитектуры ARM:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0131SE47MD

Оценка CVSS
Балл6.8 — высокая опасность
Источники и патчи
https://github.com/tuxera/ntfs-3g/commit/18bfc676119a1188e8135287b8327b0760ba44a1https://github.com/tuxera/ntfs-3g/commit/76c3a799a97fbcedeeeca57f598be508ae2a1656https://security-tracker.debian.org/tracker/CVE-2022-40284https://www.suse.com/security/cve/CVE-2022-40284.htmlhttps://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-utility-ntfs-3g-cve-2022-40284/https://altsp.su/obnovleniya-bezopasnosti/https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1221SE17MDhttps://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.7/
Проверьте безопасность своего сайта и почты → Полная проверка домена