ГлавнаяБаза уязвимостей БДУ → BDU:2023-00390
7.8высокая

BDU:2023-00390 (CVE-2022-46285)

Уязвимость функции ParseComment() библиотеки для работы с файлами изображений X Pixmap (XPM) libXpm, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2023-01-25
Описание

Уязвимость функции ParseComment() библиотеки для работы с файлами изображений X Pixmap (XPM) libXpm связана с бесконечным циклом при обработке незакрытых комментариев. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании с помощью специально созданного файла XPM

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)Red Hat Enterprise Linux (8)Debian GNU/Linux (10)Red Hat Enterprise Linux (8.0 Update Services for SAP Solutions)Ubuntu (20.04 LTS)Red Hat Enterprise Linux (8.4 Extended Update Support)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Альт 8 СПUbuntu (22.04 LTS)Red Hat Enterprise Linux (9)Astra Linux Special Edition (4.7)Ubuntu (22.10)Red Hat Enterprise Linux (8.2 Telecommunications Update Service)Red Hat Enterprise Linux (8.2 Update Services for SAP Solutions)Red Hat Enterprise Linux (8.6 Extended Update Support)Red Hat Enterprise Linux (9.0 Extended Update Support)Red Hat Enterprise Linux (8.2 Advanced Update Support)libXpm (до 3.5.15)РОСА ХРОМ (12.4)ОСОН ОСнова Оnyx (до 2.8)
Способ устранения

Использование рекомендаций:
Для libXpm:
https://gitlab.freedesktop.org/xorg/lib/libxpm/-/commit/a3a7c6dcc3b629d765014816c566c63165c63ca8

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-libxpm-cve-2022-46285-cve-2022-44617-cve-2022-4883/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-46285

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-46285

Для Ubuntu:
https://ubuntu.com/security/notices/USN-5807-1

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD

Для Astra Linux Special Edition для архитектуры ARM для 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения libxpm до версии 1:3.5.12-1.1

Для операционной системы РОСА ХРОМ: https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2259

Для Astra Linux 1.6 «Смоленск»:
обновить пакет libxpm до 1:3.5.17-1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://gitlab.freedesktop.org/xorg/lib/libxpm/-/commit/a3a7c6dcc3b629d765014816c566c63165c63ca8http://repo.red-soft.ru/redos/7.3c/x86_64/updates/https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-libxpm-cve-2022-46285-cve-2022-44617-cve-2022-4883/https://security-tracker.debian.org/tracker/CVE-2022-46285https://access.redhat.com/security/cve/CVE-2022-46285https://ubuntu.com/security/notices/USN-5807-1https://altsp.su/obnovleniya-bezopasnosti/https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD
Проверьте безопасность своего сайта и почты → Полная проверка домена