ГлавнаяБаза уязвимостей БДУ → BDU:2023-06241
10критическая

BDU:2023-06241 (CVE-2023-36328)

Уязвимость функции libtom библиотеки libtommath, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2023-10-03
Описание

Уязвимость функции libtom библиотеки libtommath связана с целочисленным переполнением. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Затрагиваемое ПО и версии
Debian GNU/Linux (10)Ubuntu (20.04 LTS)Ubuntu (16.04 ESM)Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Ubuntu (22.04 LTS)Fedora (37)Astra Linux Special Edition (4.7)РОСА Кобальт (7.9)Fedora (38)Fedora (39)Ubuntu (18.04 ESM)Ubuntu (23.04)libtommath (до 2023-05-09)АЛЬТ СП 10ОСОН ОСнова Оnyx (до 2.11)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование антивирусного программного обеспечения для проверки файлов, полученных из недоверенных источников;
- использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности удалённого доступа;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Использование рекомендаций производителя:
Для libtommath:
https://github.com/libtom/libtommath/pull/546
https://github.com/libtom/libtommath/commit/beba892bc0d4e4ded4d667ab1d2a94f4d75109a9

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-36328

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/3H2PFUTBKQUDSOJXQQS7LUSZQWT3JTW2/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/46GORAXZ34MHQNUGJBKS7PJ5NSMIAJGC/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/6ZUPWZGPFJ4JOI2NIP7YLRKZD5YXQTBK/

Для Ubuntu:
https://ubuntu.com/security/notices/USN-6402-1

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Astra Linux Special Edition 1.7 архитектуры x86-64:
обновить пакет libtommath до 1.1.0-3+ci202310101236+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0212SE17

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для Astra Linux Special Edition 4.7:
обновить пакет libtommath до 1.1.0-3+ci202310101236+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47

Для ОСОН ОСнова Оnyx (2.11):
Обновление программного обеспечения libtommath до версии 1.1.0-3osnova1

Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2529

Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2529

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://github.com/libtom/libtommath/pull/546https://github.com/libtom/libtommath/commit/beba892bc0d4e4ded4d667ab1d2a94f4d75109a9https://security-tracker.debian.org/tracker/CVE-2023-36328https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/3H2PFUTBKQUDSOJXQQS7LUSZQWT3JTW2/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/46GORAXZ34MHQNUGJBKS7PJ5NSMIAJGC/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/6ZUPWZGPFJ4JOI2NIP7YLRKZD5YXQTBK/https://ubuntu.com/security/notices/USN-6402-1http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Проверьте безопасность своего сайта и почты → Полная проверка домена