ГлавнаяБаза уязвимостей БДУ → BDU:2023-00577
7.5высокая

BDU:2023-00577 (CVE-2022-48303)

Уязвимость функции from_header (list.c) архиватора GNU Tar, связанная с чтением за пределами памяти, позволяющая нарушителю получить доступ к конфиденциальным данным
Опубликовано: 2023-02-06
Описание

Уязвимость функции from_header (list.c) архиватора GNU Tar связана с чтением за пределами памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Astra Linux Special Edition (1.6 «Смоленск»)Red Hat Enterprise Linux (8)Debian GNU/Linux (10)Debian GNU/Linux (11)РЕД ОС (7.3)Astra Linux Special Edition (1.7)ОС ТД АИС ФССП России (ИК6)Red Hat Enterprise Linux (9)Astra Linux Special Edition (4.7)GNU Tar (до 1.34)ОСОН ОСнова Оnyx (до 2.9)
Способ устранения

Использование рекомендаций:
Для GNU Tar:
https://savannah.gnu.org/bugs/?62387
https://savannah.gnu.org/patch/?10307

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-48303

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-48303

Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/

Для ОС Astra Linux Special Edition 1.7:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0426SE17

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0727SE47

Для Astra Linux 1.6 «Смоленск»:
обновить пакет tar до 1.29b-1.1+deb9u1+ci202305301413+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения tar до версии 1.34+dfsg-1ubuntu0.1.22.04.1

Оценка CVSS
Балл7.5 — высокая опасность
Источники и патчи
https://savannah.gnu.org/bugs/?62387https://savannah.gnu.org/patch/?10307http://repo.red-soft.ru/redos/7.3c/x86_64/updates/https://security-tracker.debian.org/tracker/CVE-2022-48303https://access.redhat.com/security/cve/CVE-2022-48303https://goslinux.fssp.gov.ru/2726972/https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0426SE17https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0727SE47
Проверьте безопасность своего сайта и почты → Полная проверка домена