BDU:2021-02749
Fedora Project, АО "НППКТ", ООО «Ред Софт», Canonical Ltd., Red Hat Inc., АО «ИВК», АО «Концерн ВНИИ Red Hat Enterprise Linux, Blockchain Platform, Debian GNU/Linux, nginx, Oracle Communications Sessio
2021-05-25
Уязвимость функции ngx_resolver_copy() сервера nginx связана с ошибкой единичного смещения в результате записи символа точки ('.', 0x2E) за пределы буфера кучи. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код или вызвать отказ в обслуживании путем отправки специально созданных UDP-пакетов
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций: Для nginx: http://nginx.org/en/security_advisories.html
Для РЕД ОС: http://repo.red-soft.ru/redos/7.2c/x86_64/updates/
Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2021-23017
Для Ubuntu: https://ubuntu.com/security/notices/USN-4967-1 https://ubuntu.com/security/notices/USN-4967-2
Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2021-23017
Для ОСОН Основа:
Обновление программного обеспечения nginx до версии 1.14.2-2+deb10u4
Для ОС ОН «Стрелец»:
Обновление программного обеспечения nginx до версии 1.10.3-1+deb9u7
Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/GNKOP2JR5L7KCIZTJRZDCUPJTUONMC5I/ https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/7SFVYHC7OXTEO4SMBWXDVK6E5IMEYMEE/
Для продуктов Oracle: https://www.oracle.com/security-alerts/cpuoct2021.html https://www.oracle.com/security-alerts/cpujan2022.html https://www.oracle.com/security-alerts/cpuapr2022.html
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства