BDU:2023-00290
АО "НППКТ", ООО «Ред Софт», Red Hat Inc., Сообщество свободного программного обеспечения, АО «НТЦ ИТ Red Hat Enterprise Linux, Open vSwitch, РОСА ХРОМ, Astra Linux Special Edition, OpenShift Container
2023-01-10
Уязвимость программного многоуровневого коммутатора Open vSwitch связана с потерей значимости целого числа при разборе Auto Attach TLV. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, отправлять специально созданные сообщения LLDP в уязвимую систему, запускать целочисленную потерю значимости и выполнять произвольный код в целевой системе
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций: Для Open vSwitch: https://github.com/openvswitch/ovs/commit/7490f281f09a8455c48e19b0cf1b99ab758ee4f4 https://github.com/openvswitch/ovs/pull/405
Для РЕД ОС: https://redos.red-soft.ru/support/secure/
Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2022-4337
Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2022-4337
Для ОСОН ОСнова Оnyx (версия 2.7): Обновление программного обеспечения openvswitch до версии 2.10.7+ds1-0+deb10u3
Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD
Для Astra Linux Special Edition для архитектуры ARM для 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD
Для операционной системы РОСА ХРОМ: https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2262