BDU:2022-06482
Сообщество свободного программного обеспечения, АО «ИВК», ООО «РусБИТех-Астра», ООО «Ред Софт» Astra Linux Special Edition для «Эльбрус», Альт 8 СП, Astra Linux Special Edition, Debian GNU/Linux,
2022-07-06
Уязвимость функции ins_compl_add компонента insexpand.c текстового редактора Vim связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Для Vim: использование рекомендаций производителя: https://github.com/vim/vim/commit/caea66442d86e7bbba3bf3dc202c3c0d549b9853
Для Debian: использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2022-2343
Для ОС Astra Linux: использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47 https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1011SE17MD https://wiki.astralinux.ru/astra-linux-se16-bulletin-20221220SE16 https://wiki.astralinux.ru/astra-linux-se16-bulletin-20221220SE16
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для РЕД ОС: https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-exiv2-cve-2022-3717-cve-2022-3718-cve-2022-3719-cve-2022-3755-cve-2022-37/ http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»: обновить пакет vim до 2:9.0.0242-1.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81