BDU:2019-00421
Nikolaus Rath, Сообщество свободного программного обеспечения, АО «НТЦ ИТ РОСА», ООО «РусБИТех-Астра FUSE, Astra Linux Special Edition, ROSA Virtualization 3.0, Debian GNU/Linux
2018-07-24
Уязвимость модуля fusermount драйвера файловых систем для UNIX-подобных операционных систем FUSE связана с обходом ограничения при активированной системе принудительного контроля доступа SELinux, что позволяет пользователям, не обладающим root-привилегиями, монтировать файловую систему FUSE с параметром монтирования allow_other независимо от того, установлен ли параметр user_allow_other в конфигурации fuse. Эксплуатация уязвимости может позволить нарушителю подключить файловую систему FUSE, доступную другим пользователям, и заставить их получить доступ к файлам в этой файловой системе, что может вызвать отказ в обслуживании или другому неопределенному поведению
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Для FUSE: Обновление программного обеспечения до 3.2.5 или более поздней версии
Для Debian: Обновление программного обеспечения (пакета fuse) до 2.9.3-15+deb8u3 или более поздней версии
Для Astra Linux: Обновление программного обеспечения (пакета fuse) до 2.9.3-15+deb8u3 или более поздней версии
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2681