ГлавнаяБаза уязвимостей БДУ → BDU:2023-00388
4.9высокая

BDU:2023-00388 (CVE-2022-4883)

Уязвимость библиотеки для работы с файлами изображений X Pixmap (XPM) libXpm, связанная с недоверенными путями поиска, позволяющая нарушителю выполнять произвольный код с повышенными привилегиями
Опубликовано: 2023-01-25
Описание

Уязвимость библиотеки для работы с файлами изображений X Pixmap (XPM) libXpm связана с тем, что библиотека использует переменную $PATH для запуска команды, ответственной за распаковку .Z или .gz файлов. Эксплуатация уязвимости может позволить нарушителю выполнять произвольный код с повышенными привилегиями

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)Red Hat Enterprise Linux (8)Debian GNU/Linux (10)Red Hat Enterprise Linux (8.0 Update Services for SAP Solutions)Ubuntu (20.04 LTS)Red Hat Enterprise Linux (8.4 Extended Update Support)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Альт 8 СПUbuntu (22.04 LTS)Red Hat Enterprise Linux (9)Astra Linux Special Edition (4.7)Ubuntu (22.10)Red Hat Enterprise Linux (8.2 Telecommunications Update Service)Red Hat Enterprise Linux (8.2 Update Services for SAP Solutions)Red Hat Enterprise Linux (8.6 Extended Update Support)Red Hat Enterprise Linux (9.0 Extended Update Support)Red Hat Enterprise Linux (8.2 Advanced Update Support)libXpm (до 3.5.15)РОСА Кобальт (7.9)РОСА ХРОМ (12.4)ОСОН ОСнова Оnyx (до 2.8)
Способ устранения

Использование рекомендаций:
Для libXpm:
https://gitlab.freedesktop.org/xorg/lib/libxpm/-/commit/515294bb8023a45ff916696d0a14308ff4f3a376
https://gitlab.freedesktop.org/xorg/lib/libxpm/-/commit/8178eb0834d82242e1edbc7d4fb0d1b397569c68

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-4883

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-4883

Для Ubuntu:
https://ubuntu.com/security/notices/USN-5807-1

Для ОС РОСА "КОБАЛЬТ": https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2096

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD

Для Astra Linux Special Edition для архитектуры ARM для 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения libxpm до версии 1:3.5.12-1.1

Для операционной системы РОСА ХРОМ: https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2259

Для Astra Linux 1.6 «Смоленск»:
обновить пакет libxpm до 1:3.5.17-1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16

Оценка CVSS
Балл4.9 — высокая опасность
Источники и патчи
https://gitlab.freedesktop.org/xorg/lib/libxpm/-/commit/515294bb8023a45ff916696d0a14308ff4f3a376https://gitlab.freedesktop.org/xorg/lib/libxpm/-/commit/8178eb0834d82242e1edbc7d4fb0d1b397569c68http://repo.red-soft.ru/redos/7.3c/x86_64/updates/https://security-tracker.debian.org/tracker/CVE-2022-4883https://access.redhat.com/security/cve/CVE-2022-4883https://ubuntu.com/security/notices/USN-5807-1https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2096https://altsp.su/obnovleniya-bezopasnosti/
Проверьте безопасность своего сайта и почты → Полная проверка домена