ГлавнаяБаза уязвимостей БДУ → BDU:2024-06447
6.8высокая

BDU:2024-06447 (CVE-2024-6655)

Уязвимость библиотеки для создания графических пользовательских интерфейсов GTK (GIMP Toolkit), связанная с неверным управлением генерацией кода, позволяющая нарушителю повысить свои привилегии
Опубликовано: 2024-08-26
Описание

Уязвимость библиотеки для создания графических пользовательских интерфейсов GTK (GIMP Toolkit) связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии

Затрагиваемое ПО и версии
Suse Linux Enterprise Desktop (12 SP3)Suse Linux Enterprise Desktop (12 SP4)SUSE Linux Enterprise Server for SAP Applications (12 SP2)SUSE Linux Enterprise Server for SAP Applications (12 SP3)SUSE Linux Enterprise Server for SAP Applications (12 SP4)OpenSUSE Leap (15.5)Suse Linux Enterprise Server (12 SP3)Suse Linux Enterprise Server (12 SP4)SUSE Linux Enterprise Server for SAP Applications (11 SP3)Suse Linux Enterprise Server (11 SP4)Red Hat Enterprise Linux (8)Suse Linux Enterprise Server (12 SP2-BCL)Suse Linux Enterprise Server (12 SP2-ESPOS)SUSE Linux Enterprise Server for SAP Applications (11 SP4)SUSE Linux Enterprise Server for SAP Applications (15)SUSE Linux Enterprise Server for SAP Applications (15 SP1)Suse Linux Enterprise Server (11 SP4-LTSS)Suse Linux Enterprise Server (12 SP2-LTSS)Suse Linux Enterprise Server (12 SP3-LTSS)Suse Linux Enterprise Server (12 SP3-BCL)Suse Linux Enterprise Server (12 SP5)SUSE Linux Enterprise Server for SAP Applications (12 SP5)Suse Linux Enterprise Server (11 SP3-LTSS)Suse Linux Enterprise Server (12 SP3-ESPOS)Suse Linux Enterprise Desktop (12 SP2)Suse Linux Enterprise Server (12 SP2)Suse Linux Enterprise Server (15-LTSS)Suse Linux Enterprise Server (11 SP2-LTSS)openSUSE TumbleweedUbuntu (20.04 LTS)
Способ устранения

Использование рекомендаций:

Для GTK:
обновление библиотеки до актуальной версии
https://gitlab.gnome.org/GNOME/gtk/-/merge_requests/7361/diffs?commit_id=3bbf0b6176d42836d23c36a6ac410e807ec0a7a7#diff-content-e3fbe6480add9420b69f82374fb26ccac2c015a0

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2024-6655

Для программных продуктов Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-6655

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2024-6655.html

Для программных продуктов Ubuntu:
https://ubuntu.com/security/CVE-2024-6655
https://ubuntu.com/security/notices/USN-6899-1

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Astra Linux:
- обновить пакет gtk+3.0 до 3.24.38-5ubuntu1astra5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MD
- обновить пакет gtk+2.0 до 2.24.33-2astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MD

Для ОС Astra Linux:
- обновить пакет gtk+3.0 до 3.24.30-1ubuntu1.1astra6 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17
- обновить пакет gtk+2.0 до 2.24.33-2astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17

Для ОС Astra Linux:
- обновить пакет gtk+3.0 до 3.24.30-1ubuntu1.1astra6 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47
- обновить пакет gtk+2.0 до 2.24.33-2astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2801

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2844

Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2024:9184?lang=ru

Для ОС Astra Linux:
- обновить пакет gtk+2.0 до 2.24.32-1astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16
- обновить пакет gtk+3.0 до 3.22.30-0astra9 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16

Оценка CVSS
Балл6.8 — высокая опасность
Источники и патчи
https://gitlab.gnome.org/GNOME/gtk/-/merge_requests/7361/diffs?commit_id=3bbf0b6176d42836d23c36a6ac410e807ec0a7a7#diff-content-e3fbe6480add9420b69f82374fb26ccac2c015a0https://gitlab.gnome.org/GNOME/gtk/-/issues/6786https://access.redhat.com/security/cve/CVE-2024-6655https://security-tracker.debian.org/tracker/CVE-2024-6655https://www.suse.com/security/cve/CVE-2024-6655.htmlhttps://ubuntu.com/security/CVE-2024-6655https://ubuntu.com/security/notices/USN-6899-1http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Проверьте безопасность своего сайта и почты → Полная проверка домена