ГлавнаяБаза уязвимостей БДУ → BDU:2024-04975
7.6критическая

BDU:2024-04975 (CVE-2023-52169)

Уязвимость обработчика NTFS в файле NtfsHandler.cpp архиватора 7-Zip, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2024-07-04
Описание

Уязвимость обработчика NTFS в файле NtfsHandler.cpp архиватора 7-Zip связана с возможностью переполнения буфера на основе кучи. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Затрагиваемое ПО и версии
РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Альт 8 СПАЛЬТ СП 107-Zip (до 24.01)Astra Linux Special Edition (1.8)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения возможности удаленного доступа;
- открытие файлов, полученных из недоверенных источников с использованием замкнутой программной среды;
- использование антивирусного программного обеспечения для проверки загружаемых файлов.

Использование рекомендаций производителя:
Для 7-Zip:
https://www.7-zip.org/

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для АЛЬТ СП 10 (репозиторий c10f1):
Установка обновления из публичного репозитория программного средства.

Для Альт 8 СП (репозиторий c9f2):
Установка обновления из публичного репозитория программного средства.

Для ОС Astra Linux:
обновить пакет p7zip до 16.02+transitional.1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MD

Для ОС Astra Linux:
обновить пакет p7zip до 16.02+dfsg-6astra3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17

Для ОС Astra Linux:
обновить пакет p7zip до 16.02+dfsg-6astra3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

Оценка CVSS
Балл7.6 — критическая опасность
Источники и патчи
https://dfir.ru/2024/06/19/vulnerabilities-in-7-zip-and-ntfs3/http://www.openwall.com/lists/oss-security/2024/07/03/10https://sourceforge.net/p/sevenzip/bugs/2402/https://www.openwall.com/lists/oss-security/2024/07/03/10https://vuldb.com/?id.270318https://altsp.su/obnovleniya-bezopasnosti/https://altsp.su/obnovleniya-bezopasnosti/https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-7zip-cve-2023-52169-cve-2023-52168/
Проверьте безопасность своего сайта и почты → Полная проверка домена