BDU:2020-04361
АО "НППКТ", Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус», Astra Linux Special Edition, atftpd, ОСОН ОСнова Оnyx
2020-09-10
Уязвимость функции assert() сервера atftpd связана с ошибками освобождения ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании с помощью специально сформированной последовательности запросов RRQ-Multicast
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций: Для atftpd: https://sourceforge.net/p/atftp/code/merge-requests/3/ https://sourceforge.net/u/peterkaestle/atftp/ci/b39751cd542750e4a364c97cd7d5eb2758a2f998/
Для Astra Linux: использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17 https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47 https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16
Для ОСОН Основа: Обновление программного обеспечения atftp до версии 0.7.git20120829-3.2~deb10u1
Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»: обновить пакет atftp до 0.7.git20120829-3.1~deb9u3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81