BDU:2023-07604
АО "НППКТ", Lloyd Hilaiel, Jeroen Ooms, Graham Keeling, Сообщество свободного программного обеспечен YAJL, Astra Linux Special Edition, EPICS Base, Debian GNU/Linux, ОСОН ОСнова Оnyx, Burp, YAJL-ruby,
2017-11-02
Уязвимость функции yajl_string_decode компонента yajl_encode.c библиотеки JSON YAJL-ruby связана с недостаточной обработкой форматной строки. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании с помощью специально созданного JSON файла
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Для YAJL: использование рекомендаций производителя: https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1040036
Для YAJL-ruby: использование рекомендаций производителя: https://github.com/brianmario/yajl-ruby/issues/176
Для Burp: использование рекомендаций производителя: https://security-tracker.debian.org/tracker/DLA-3516-1
Для EPICS Base: использование рекомендаций производителя: https://github.com/epics-base/epics-base/issues/405
Для Jsonlite: использование рекомендаций производителя: https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1040161
Для Debian: использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2017-16516
Для ОС Astra Linux: обновить пакет yajl до 2.1.0-3+deb10u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17
Для ОСОН ОСнова Оnyx: Обновление программного обеспечения yajl до версии 2.1.0-3+deb10u2
Для Astra Linux Special Edition 4.7: обновить пакет yajl до 2.1.0-3+deb10u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47