BDU:2023-06817
АО "НППКТ", ООО «Ред Софт», Canonical Ltd., Red Hat Inc., АО «ИВК», X.Org Foundation, ООО «НЦПР», Со Red Hat Enterprise Linux, Xlib (libX11), Альт 8 СП, Astra Linux Special Edition, Ubuntu, Debian GNU/
2023-10-10
Уязвимость функции PutSubImage() библиотеки предоставления клиентского API для X Window System libX11 связана с выполнением цикла с недоступным условием выхода. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Компенсирующие меры: - использование механизмов контроля доступа; - отключение/удаление неиспользуемых учетных записей пользователей; - минимизация пользовательских привилегий; - мониторинг системных журналов для обнаружения попыток эксплуатации уязвимости.
Использование рекомендаций: Для libX11: https://gitlab.freedesktop.org/xorg/lib/libx11/-/commit/204c3393c4c90a29ed6bef64e43849536e863a86 https://gitlab.freedesktop.org/xorg/lib/libx11/-/commit/73a37d5f2fcadd6540159b432a70d80f442ddf4a https://gitlab.freedesktop.org/xorg/lib/libx11/-/commit/b4031fc023816aca07fbd592ed97010b9b48784b https://gitlab.freedesktop.org/xorg/lib/libxpm/-/commit/84fb14574c039f19ad7face87eb9acc31a50701c
Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2023-43786
Для Ubuntu: https://ubuntu.com/security/notices/USN-6407-1 https://ubuntu.com/security/notices/USN-6408-1 https://ubuntu.com/security/notices/USN-6407-2
Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2023-43786
Для РЕД ОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-libx11-cve-2023-43785-cve-2023-43786-cve-2023-43787/
Для ОС Astra Linux Special Edition 1.7: обновить пакет libx11 до 2:1.8.7-1astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для Astra Linux 1.6 «Смоленск»: обновить пакет libx11 до 2:1.8.7-1astra3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16
Для ОСОН ОСнова Оnyx: Обновление программного обеспечения libx11 до версии 2:1.6.7-1+deb10u4
Для Astra Linux Special Edition 4.7: обновить пакет libx11 до 2:1.8.7-1astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47
Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2850
Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2024:2145?lang=ru