BDU:2023-01258
АО "НППКТ", ООО «Ред Софт», Canonical Ltd., Red Hat Inc., АО «ИВК», Сообщество свободного программно Red Hat Enterprise Linux, Fedora, АЛЬТ СП 10, Astra Linux Special Edition, Red Hat Software Collecti
2023-03-06
Уязвимость функции ares_set_sortlist библиотеки асинхронных DNS-запросов c-ares связана с отсутствием проверки достоверности входной строки, что допускает возможное переполнение стека произвольной длины. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании или оказать ограниченное влияния на конфиденциальность и целостность
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций: Для c-ares: https://github.com/c-ares/c-ares/pull/497 https://github.com/c-ares/c-ares/commit/9903253c347f9e0bffd285ae3829aef251cc852d
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2022-4904
Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2022-4904
Для Ubuntu: https://ubuntu.com/security/notices/USN-5907-1
Для ОСОН ОСнова Оnyx: Обновление программного обеспечения c-ares до версии 1.14.0-1+deb10u3
Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства
Для операционной системы РОСА ХРОМ: https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2284
Для системы управления средой виртуализации «ROSA Virtualization» : https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2246
Для ОС Astra Linux Special Edition 1.7: обновить пакет c-ares до 1.14.0-1+deb10u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD
Для ОС Аврора: https://cve.omp.ru/bb30515