BDU:2024-06671

АО "НППКТ", ООО «Ред Софт», ООО «НЦПР», Сообщество свободного программного обеспечения, АО «НТЦ ИТ Р Astra Linux Special Edition, Flatpak, ОСОН ОСнова Оnyx, ROSA Virtualization 3.0, ROSA Virtualization

НЕ ОЦЕНЕНО
Дата обнаружения

2024-08-15

Официальное описание

Уязвимость инструмента для управления приложениями и средами Flatpak связана с неправильной нейтрализацией специальных элементов на выходе, используемых нижестоящим компонентом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным и нарушить их целостность

🛡️
Технический анализ и план устранения

🇷🇺 Рекомендация ФСТЭК

Для flatpak: https://github.com/containers/bubblewrap/commit/68e75c3091c87583c28a439b45c45627a94d622c https://github.com/containers/bubblewrap/commit/a253257cd298892da43e15201d83f9a02c9b58b5 https://github.com/flatpak/flatpak/commit/2cdd1e1e5ae90d7c3a4b60ce2e36e4d609e44e72 https://github.com/flatpak/flatpak/commit/3caeb16c31a3ed62d744e2aaf01d684f7991051a https://github.com/flatpak/flatpak/commit/6bd603f6836e9b38b9b937d3b78f3fbf36e7ff75 https://github.com/flatpak/flatpak/commit/7c63e53bb2af0aae9097fd2edfd6a9ba9d453e97 https://github.com/flatpak/flatpak/commit/8a18137d7e80f0575e8defabf677d81e5cc3a788 https://github.com/flatpak/flatpak/commit/db3a785241fda63bf53f0ec12bb519aa5210de19 https://github.com/flatpak/flatpak/security/advisories/GHSA-7hgv-f2j8-xw87

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Astra Linux: обновить пакет flatpak до 1.14.10-1~deb12u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MD

Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2508

Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2024-2508

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2793

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2837

Обновление программного обеспечения flatpak до версии 1.10.8-0+deb11u3.osnova2u1

Обновление программного обеспечения bubblewrap до версии 0.4.1-3+deb11u1.osnova2u1

Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2024:9449?lang=ru

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей