BDU:2025-03866
АО "НППКТ", Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра» XZ Utils, Astra Linux Special Edition, ОСОН ОСнова Оnyx
2025-03-31
Уязвимость функции lzma_stream_decoder_mt() библиотеки liblzma пакета для сжатия данных XZ Utils связана с преждевременным высвобождением ресурсов в результате разыменования указателей. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры: - использование средств межсетевого экранирования для ограничения удаленного доступа к уязвимому программному средству; - сегментирование сети для ограничения доступа к уязвимому программному обеспечению из других подсетей; - использование SIEM-систем для отслеживания попыток эксплуатации уязвимости; - использование средств резервного копирования для обеспечения возможности восстановления системы после сбоя; - ограничение доступа из внешних сетей (Интернет).
Использование рекомендаций: https://github.com/tukaani-project/xz/security/advisories/GHSA-6cc8-p5mm-29w2
Обновление программного обеспечения xz-utils до версии 5.4.1-1
Для ОС Astra Linux: обновить пакет xz-utils до 5.8.1-1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0811SE18