Уязвимость библиотеки для управления вводом-выводом на терминал ncurses связана с возможностью записи за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации путем внесения в файл базы данных terminfo через переменные среды TERMINFO или TERM
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- отключение/удаление неиспользуемых учетных записей, а также учетных записей недоверенных пользователей;
- минимизация пользовательских привилегий;
- принудительная смена паролей пользователей;
- использование антивирусных средств защиты для отслеживания средств эксплуатации уязвимостей.
Использование рекомендаций производителя:
Для ncurses:
http://ncurses.scripts.mit.edu/?p=ncurses.git;a=commit;h=eb51b1ea1f75a0ec17c9c5937cb28df1e8eeec56
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-29491
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2023-29491
Для Ubuntu:
https://ubuntu.com/security/notices/USN-6099-1
https://ubuntu.com/security/CVE-2023-29491
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2023-29491.html
Для программных продуктов Apple Inc.:
https://support.apple.com/en-us/HT213843
https://support.apple.com/en-us/HT213844
https://support.apple.com/en-us/HT213845
Для ОС Astra Linux Special Edition 1.7:
обновить пакет ncurses до 6.1+20181013-2+deb10u3+ci202309121705+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17
Для Astra Linux 1.6 «Смоленск»:
обновить пакет ncurses до 6.0+20161126-1+deb9u2+ci202312011039+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16
Для ОСОН ОСнова Оnyx (версия 2.10):
Обновление программного обеспечения ncurses до версии 6.1+20181013-2+deb10u5
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Astra Linux Special Edition 4.7:
обновить пакет ncurses до 6.1+20181013-2+deb10u3+ci202309121705+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47
Для ОС Astra Linux:
обновить пакет ncurses до 6.0+20161126-1+deb9u2+ci202402291455+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20241206SE81
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2635
Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2779
Для ОС Аврора: https://cve.omp.ru/bb27514
Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2023:6698?lang=ru
| Балл | 6.8 — высокая опасность |