BDU:2025-02719
АО "НППКТ", ООО «Юбитех», ООО «Ред Софт», FreeType Project, ООО «НЦПР», АО «НТЦ ИТ РОСА», ООО «РусБИ Astra Linux Common Edition, UBLinux, Platform V SberLinux OS Server, Astra Linux Special Edition, ОС
2023-03-18
Уязвимость библиотеки для растеризации шрифтов FreeType связана с чтением за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путем отправки специально сформированного файла вариативных шрифтов
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры: - использование средств межсетевого экранирования для ограничения возможности удалённого доступа к устройствам; - ограничение доступа из внешних сетей (Интернет); - использование «белого» списка IP-адресов для ограничения доступа к уязвимому программному обеспечению; - установка шрифтов только из доверенных источников; - использование антивирусного программного обеспечения для проверки устанавливаемых шрифтов на предмет наличия сигнатур ВПО.
Использование рекомендаций: https://gitlab.freedesktop.org/freetype/freetype/-/commit/ef636696524b081f1b8819eb0c6a0b932d35757d
Обновление программного обеспечения freetype до версии 2.12.1+dfsg-5+deb12u4
Для РЕД ОС: https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-freetype-cve-2025-27363/?sphrase_id=1129886
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2864
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2941
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2886
Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2877
Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2025-2867
Для ОС Astra Linux: обновить пакет freetype до 2.12.1+dfsg-5+deb12u3.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0811SE18
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2941
Для UBLinux: https://security.ublinux.ru/CVE-2025-27363
Для ОС Astra Linux: обновить пакет freetype до 2.12.1+dfsg-5+deb12u3.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17
Для ОС Astra Linux: обновить пакет freetype до 2.12.1+dfsg-5+deb12u3.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47
Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2025:3407?lang=ru
Для ОС Astra Linux: обновить пакет freetype до 2.6.3-3.2+deb9u4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16