BDU:2021-03096
ООО «Ред Софт», Red Hat Inc., АО «ИВК», АО «Концерн ВНИИНС», Google Inc, Сообщество свободного прогр Astra Linux Special Edition для «Эльбрус», Red Hat Enterprise Linux, Astra Linux Common Edition, Fed
2020-11-10
Уязвимость функции exif_entry_get_value компонента exif-entry.c библиотеки для грамматического разбора EXIF-файлов Libexif связана с целочисленным переполнением значения. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информацию
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Использование рекомендаций: Для libexif: Обновление PHP фреймворка Icinga Web 2 до более новой версии.
Для Debian GNU/Linux: https://www.debian.org/security/2020/dsa-4786
Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ELDZR6USD5PR34MRK2ZISLCYJ465FNKN/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/SVBD5JRUQPN4LQHTAAJHA3MR5M7YTAC7/
Для Android: https://source.android.com/security/bulletin/2020-11-01
Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2020-0452
Для Альт 8 СП: https://altsp.su/obnovleniya-bezopasnosti/
Для Astra Linux: Использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16 https://wiki.astralinux.ru/pages/viewpage.action?pageId=47416144 https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
Для ОС ОН «Стрелец»: Обновление программного обеспечения libexif до версии 0.6.21-2+deb9u5
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/