Уязвимость справочной системы Yelp связана с включением функций из недостоверной контролируемой области при обработке документов с использованием схемы ghelp. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации и выполнить произвольный код
Компенсирующие меры:
Для Yelp:
- использование средств межсетевого экранирования уровня веб-приложений (WAF);
- использование антивирусного программного обеспечения для проверки файлов, полученных из недоверенных источников;
- использование замкнутой программной среды для работы с файлами, полученными из недоверенных источников;
- использование «белого» списка IP-адресов для ограничения доступа к уязвимому устройству;
- использование средств обнаружения и предотвращения вторжений (IDS/IPS) для выявления и реагирования на попытки эксплуатации уязвимости;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).
Использование рекомендаций:
Для ОСОН Основа:
Обновление программного обеспечения yelp до версии 3.31.90-1osnova2u1
Обновление программного обеспечения yelp до версии 3.31.90-1osnova2u1
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2926
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2925
Для ОС Astra Linux:
обновить пакет yelp до 42.2-1+ubuntu0.24.04.1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0811SE18
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2926
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2925
Для ОС Astra Linux:
- обновить пакет yelp до 3.31.90-1+ci2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17
- обновить пакет yelp-xsl до 3.31.90-1+ci2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17
Обновление программного обеспечения yelp-xsl до версии 3.38.3-1+deb11u1
Для ОС Astra Linux:
- обновить пакет yelp до 3.31.90-1+ci2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47
- обновить пакет yelp-xsl до 3.31.90-1+ci2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47
Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2025:7430?lang=ru
Для Ред ОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС Astra Linux:
- обновить пакет yelp до 3.22.0-1+deb9u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16
- обновить пакет yelp-xsl до 3.20.1-2+deb9u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16
Для ОСОН ОСнова Оnyx: Обновление программного обеспечения yelp до версии 42.2-1osnova3u1
Для ОСОН ОСнова Оnyx: Обновление программного обеспечения yelp-xsl до версии 42.1-2+deb12u1
| Балл | 7.8 — высокая опасность |