BDU:2023-03313
ООО «Ред Софт», Google Inc, ООО «НЦПР», АО «НТЦ ИТ РОСА», ООО «РусБИТех-Астра», Fedora Project Fedora, Astra Linux Special Edition, protobuf-c, ROSA Virtualization, РЕД ОС, МСВСфера, РОСА ХРОМ
2023-04-13
Уязвимость функции parse_required_member() протокола сериализации данных protobuf-c связана с целочисленным переполнением. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код и привести систему к полной компрометации
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций:
Для protobuf-c: https://github.com/protobuf-c/protobuf-c/commit/ec3d900001a13ccdaa8aef996b34c61159c76217
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/EI4JZSHJXW7WOOTAQSV5SUCC5GE2GC2B/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/UGLZZYPOLI733DPETL444E3GY5KSS6LG/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/VNUEZZEPR2F6M67ANXLOPJX6AQL3TK4P/
Для ОС Astra Linux Special Edition 1.7 архитектуры x86-64: обновить пакет protobuf-c до 1.3.3-1+ci202311091556+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0212SE17
Для системы управления средой виртуализации «ROSA Virtualization» : https://abf.rosalinux.ru/advisories/ROSA-SA-2024-2374
Для Astra Linux Special Edition 4.7 для архитектуры ARM: обновить пакет protobuf-c до 1.3.3-1+ci202311091556+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2024-2397
Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2023:6621?lang=ru