Уязвимость пакета libsss_certmap сервиса управления доступом к удаленным каталогам и механизма аутентификации sssd связана с невозможностью очистки данных сертификата при использовании LDAP-фильтрации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- сброс настроек FreeIPA до конфигурации по умолчанию;
- отключение неиспользуемых учетных записей, а также учетных записей недоверенных пользователей корневой операционной системы;
- ограничение доступа к командной строке для недоверенных пользователей;
- минимизация пользовательских привилегий.
Использование рекомендаций производителя:
Для sssd:
https://github.com/SSSD/sssd/issues/5135
https://github.com/SSSD/sssd/commit/a2b9a84460429181f2a4fa7e2bb5ab49fd561274
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-4254
https://bugzilla.redhat.com/show_bug.cgi?id=2149894
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-4254.html
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-4254
Для Astra Linux 1.6 «Смоленск»:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20230525SE16MD
Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет sssd до 1.16.3-3ubuntu1.1astra16 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81
Для Astra Linux 1.6 «Смоленск»:
обновить пакет sssd до 1.16.3-3ubuntu1.1astra16 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16
| Балл | 10 — критическая опасность |