BDU:2022-06445
АО "НППКТ", ООО «Ред Софт», Canonical Ltd., Red Hat Inc., АО «ИВК», Сообщество свободного программно Red Hat Enterprise Linux, Fedora, Альт 8 СП, РОСА ХРОМ, Astra Linux Special Edition, Red Hat Softwar
2022-10-21
Уязвимость криптографической хэш-функции SHA-3 программного пакета eXtended Keccak Code Package (XKCP) связана с ошибками при блочной обработке входных данных и приведении типов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код в процессе вычисления хэша с помощью специально сформированных данных
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры: замена встроенной хеш-библиотеки проверенными реализациями из HACL; - ограничение максимального размера данных, участвующих в одной итерации вычисления хэша.
Использование рекомендаций: https://github.com/XKCP/XKCP/security/advisories/GHSA-6w4m-2xhg-2658 https://github.com/XKCP/XKCP/commit/fdc6fef075f4e81d6b1bc38364248975e08e340a
Установка обновления для модуля XKCP: https://github.com/XKCP/XKCP/commit/fdc6fef075f4e81d6b1bc38364248975e08e340a
Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2022-37454
Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2022-37454
Для программных продуктов Python Software Foundation: https://github.com/python/cpython/issues/98517 https://github.com/python/cpython/commit/0e4e058602d93b88256ff90bbef501ba20be9dd3 https://github.com/python/cpython/commit/857efee6d2d43c5c12fc7e377ce437144c728ab8 https://github.com/python/cpython/commit/948c6794711458fd148a3fa62296cadeeb2ed631 https://github.com/python/cpython/commit/8088c90044ba04cd5624b278340ebf934dbee4a5 https://github.com/python/cpython/commit/6fe2a75b645044ca2b5dac03e8d850567b547a9a
Для Ubuntu: https://ubuntu.com/security/notices/USN-5717-1 https://ubuntu.com/security/notices/USN-5767-1 https://ubuntu.com/security/notices/USN-5888-1 https://ubuntu.com/security/notices/USN-5767-3 https://ubuntu.com/security/notices/USN-5930-1 https://ubuntu.com/security/notices/USN-5931-1
Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/3ALQ6BDDPX5HU5YBQOBMDVAA2TSGDKIJ/ https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/CMIEXLMTW5GO36HTFFWIPB3OHZXCT3G4/
Для PHP Group: https://bugs.php.net/bug.php?id=81738 https://github.com/php/php-src/commit/91663a92d1697fc30a7ba4687d73e0f63ec2baa1 https://github.com/php/php-src/commit/248f647724e385bfb8d83aa5b5a5ca3c4ee2c7fd
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для ОСОН ОСнова Оnyx (версия 2.7): Обновление программного обеспечения php7.3 до версии 7.3.31-1~deb10u2.osnova10 Обновление программного обеспечения python3.7 до версии 3.7.3-2+deb10u4.osnova10
Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD
Для Astra Linux Special Edition для архитектуры ARM для 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2676
Обновление программного обеспечения python3.9 до версии 3.9.23-1.osnova2u1