BDU:2022-06908
АО "НППКТ", АО «ИВК», FreeType Project, ООО «НЦПР», Сообщество свободного программного обеспечения, АЛЬТ СП 10, Astra Linux Special Edition, ОСОН ОСнова Оnyx, Debian GNU/Linux, ОС Аврора, ROSA Virtual
2022-03-17
Уязвимость функции sfnt_init_face библиотеки FreeType связана с записью за границами буфера. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Для FreeType: использование рекомендаций производителя: https://gitlab.freedesktop.org/freetype/freetype/-/commit/53dfdcd8198d2b3201a23c4bad9190519ba918db
Для Debian: использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2022-27404
Для ОС Astra Linux: использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17
Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47
Для ОСОН ОСнова Оnyx: Обновление программного обеспечения freetype до версии 2.12.1+dfsg-3
Для системы управления средой виртуализации «ROSA Virtualization» : https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2212
Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства
Для ОС Аврора: https://cve.omp.ru/bb27514
Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2022:8340?lang=ru