BDU:2022-05220
The HDF Group, ООО «РусБИТех-Астра», ООО «Ред Софт» Astra Linux Special Edition, HDF5, РЕД ОС
2022-08-22
Уязвимость функции ReadGifHeader() (gifread.c) библиотеки HDF5 libhdf5 связана с записью за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код в целевой системе посредством открытия пользователем специально созданного вредоносного GIF-файла
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры: - запрет преобразования GIF-файлов в формат HDF5, полученных из недоверенных источников; - отключение неиспользуемых учетных записей, а также учетных записей недоверенных пользователей; - использование программного средства с минимально необходимым уровнем привилегий.
Для ОС Astra Linux Special Edition 1.7: обновить пакет hdf5 до 1.10.6+repack-4+deb11u1+ci202308231818+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17
Для Astra Linux Special Edition 4.7: обновить пакет hdf5 до 1.10.6+repack-4+deb11u1+ci202308231818+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47
Для РедоС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/