BDU:2024-07876
Сообщество свободного программного обеспечения, Novell Inc., ООО «РусБИТех-Астра», Red Hat Inc. Red Hat Ceph Storage, Astra Linux Special Edition, Debian GNU/Linux, openSUSE Tumbleweed, Red Hat Op
2024-08-08
Уязвимость реализации механизма OTP программного обеспечения аутентификации OATH Toolkit связана с неверным определением символических ссылок перед доступом к файлу. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии до уровня root и создавать символьные ссылки на критические системные файлы
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций:
Для oath-toolkit:
https://gitlab.com/oath-toolkit/oath-toolkit/-/commit/3235a52f6b87cd1c5da6508f421ac261f5e33a70
https://gitlab.com/oath-toolkit/oath-toolkit/-/commit/3271139989fde35ab0163b558fc29e80c3a280e5
https://gitlab.com/oath-toolkit/oath-toolkit/-/commit/60d9902b5c20f27e70f8e9c816bfdc0467567e1a
https://gitlab.com/oath-toolkit/oath-toolkit/-/commit/95ef255e6a401949ce3f67609bf8aac2029db418
https://gitlab.com/oath-toolkit/oath-toolkit/-/issues/43
Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2024-47191
Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2024-47191.html
Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2024-47191
Для ОС Astra Linux: обновить пакет oath-toolkit до 2.6.7-3.1+deb12u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MD