BDU:2023-07640
Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра», ООО «Ред Софт» TPM2 Software Stack, Astra Linux Special Edition, РЕД ОС, Debian GNU/Linux
2023-01-19
Уязвимость функций Tss2_RC_Decode и Tss2_RC_SetHandler реализации TCG TPM2 TPM2 Software Stack связана с копированием буфера без проверки входных данных. Эксплуатация уязвимости может позволить нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Для TPM2 Software Stack: использование рекомендаций производителя: https://github.com/tpm2-software/tpm2-tss/commit/306490c8d848c367faa2d9df81f5e69dab46ffb5
Для Debian: использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2023-22745
Для ОС Astra Linux: обновить пакет tpm2-tss до 3.2.1-3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17
Для Astra Linux Special Edition 4.7: обновить пакет tpm2-tss до 3.2.1-3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/