BDU:2023-03876
АО "НППКТ", ООО «Ред Софт», Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра», Th Qt, Astra Linux Special Edition, ОСОН ОСнова Оnyx, Debian GNU/Linux, РЕД ОС
2023-05-12
Уязвимость компонента QDnsLookup кроссплатформенного фреймворка для разработки программного обеспечения Qt связана с чтением за допустимыми границами буфера данных. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, вызвать отказ в обслуживании с помощью специально созданного ответа от DNS-сервера
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Для Qt: использование рекомендаций производителя: https://codereview.qt-project.org/c/qt/qtbase/+/477644
Для Debian: использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2023-33285
Для ОС Astra Linux: использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0630SE17MD
Для ОС Astra Linux Special Edition для архитектуры ARM 4.7: использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0907SE47
Для Astra Linux 1.6 «Смоленск»: обновить пакет qtbase-opensource-src до 5.11.0-0astra72 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16
Для ОСОН ОСнова Оnyx (2.11): Обновление программного обеспечения qtbase-opensource-src до версии 5.11.3+dfsg1.repack-1+deb10u6.osnova1
Для РЕД ОС: https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-qt5/?sphrase_id=644571