BDU:2019-02881
АО "НППКТ", Джулиан Стюард, Novell Inc., FreeBSD Project, ООО «Ред Софт», Canonical Ltd., АО «Концер Astra Linux Common Edition, SUSE OpenStack Cloud Crowbar, ОС ОН «Стрелец», SUSE Linux Enterprise Ser
2019-06-06
Уязвимость функции BZ2_decompress (decompress.c) утилиты для сжатия данных bzip2 связана с записью за границы буфера памяти. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код в целевой системе в результате открытия пользователем специально подготовленного вредоносного архива
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций:
Для bzip2: https://gitlab.com/federicomenaquintero/bzip2/commit/74de1e2e6ffc9d51ef9824db71a8ffee5962cdbc
Для FreeBSD: https://www.freebsd.org/security/advisories/FreeBSD-SA-19:18.bzip2.asc
Для Ubuntu:
https://usn.ubuntu.com/4038-1/
https://usn.ubuntu.com/4038-2/
Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2019-12900/
Для РЕД ОС: Обновление операционной системы до версии 7.2
Для программных продуктов Oracle Corp.: https://www.oracle.com/security-alerts/cpuoct2020.html
Для Astra Linux: Обновление программного обеспечения (пакета bzip2) до 1.0.6-9.2~deb10u1 или более поздней версии
Для ОС ОН «Стрелец»: Обновление программного обеспечения bzip2 до версии 1.0.6-9.2~deb10u1.strelets1
Обновление программного обеспечения python3.9 до версии 3.9.23-1.osnova2u1
Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2025:0925?lang=ru