BDU:2023-06566
АО "НППКТ", ООО «Юбитех», ООО «Ред Софт», Canonical Ltd., Сообщество свободного программного обеспеч libcue, Fedora, UBLinux, Ubuntu, Debian GNU/Linux, ОСОН ОСнова Оnyx, РЕД ОС
2023-10-09
Уязвимость прикладного программного интерфейса библиотеки libcue связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путём загрузки контрольной таблицы с вредоносной веб-страницы
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры: - использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности удалённого доступа; - использование антивирусного программного обеспечения для отслеживания средств эксплуатации уязвимости; - использование систем обнаружения и предотвращения вторжений для ограничения возможности загрузки вредоносных файлов.
Использование рекомендаций: Для libcue: https://github.com/lipnitsk/libcue/security/advisories/GHSA-5982-x7hv-r9cj
Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2023-43641
Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/2IYRNAHR55MLFOHVOOIO46GBTGZD4G4W/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/U7FPN4SA2GU3D2YOFXF2KDBWTFJX7MOW/
Для Ubuntu: https://ubuntu.com/security/notices/USN-6423-1
Для UBLinux: https://security.ublinux.ru/CVE-2023-43641
Для ОСОН ОСнова Оnyx: Обновление программного обеспечения libcue до версии 2.2.1-2+deb10u1
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/