BDU:2025-04290
АО "НППКТ", Jay Berkenbilt, Novell Inc., ООО «Ред Софт», Canonical Ltd., Red Hat Inc., Сообщество св Red Hat Enterprise Linux, SUSE Linux Enterprise Server for SAP Applications, Ubuntu, Debian GNU/Linu
2023-08-11
Уязвимость утилиты командной строки для преобразования PDF документов QPDF связана с использованием памяти после её освобождения. Эксплуатация уязвимости может позволить нарушителю выполнять произвольный код путем обработки параметра Pl_ASCII85Decoder::write
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Использование рекомендаций: Для QPDF: https://github.com/qpdf/qpdf/issues/492
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2021-25786
Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2021-25786
Для Ubuntu: https://ubuntu.com/security/CVE-2021-25786
Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2021-25786.html
Обновление программного обеспечения qpdf до версии 8.4.0-2+deb10u1.osnova3