BDU:2023-07626
АО "НППКТ", Сообщество свободного программного обеспечения, АО «НТЦ ИТ РОСА», ООО «РусБИТех-Астра», Astra Linux Special Edition для «Эльбрус», Astra Linux Special Edition, Debian GNU/Linux, ОСОН ОСнов
2020-08-04
Уязвимость функции _nc_captoinfo компонента captoinfo.c библиотеки управления вводом-выводом на терминал Ncurses связана с записью за границами буфера. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Для Ncurses: использование рекомендаций производителя: https://lists.gnu.org/archive/html/bug-ncurses/2020-08/msg00006.html
Для Debian: использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-39537
Для ОС Astra Linux: обновить пакет ncurses до 6.1+20181013-2+deb10u3+ci202309121705+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17
Для Astra Linux 1.6 «Смоленск»: обновить пакет ncurses до 6.0+20161126-1+deb9u2+ci202312011039+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16
Для ОСОН ОСнова Оnyx (версия 2.10): Обновление программного обеспечения ncurses до версии 6.1+20181013-2+deb10u5
Для Astra Linux Special Edition 4.7: обновить пакет ncurses до 6.1+20181013-2+deb10u3+ci202309121705+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47
Для ОС Astra Linux: обновить пакет ncurses до 6.0+20161126-1+deb9u2+ci202402291455+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20241206SE81
Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2779
Для ОС Аврора: https://cve.omp.ru/bb27514