BDU:2025-05618
Сообщество свободного программного обеспечения, ООО «Ред Софт» РЕД ОС, Screen
2025-05-12
Уязвимость функции logfile_reopen() терминального мультиплексора GNU screen связана с выполнением операции до сброса привилегий. Эксплуатация уязвимости может позволить нарушителю осуществить запись данных в произвольный файл с root-привилегиями
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры: - использование систем обнаружения и предотвращения вторжений для обнаружения (выявления, регистрации) и реагирования на попытки эксплуатации уязвимостей; - минимизация пользовательских привилегий; - отключение/удаление неиспользуемых учётных записей пользователей.
Использование рекомендаций: https://git.savannah.gnu.org/cgit/screen.git/commit/?id=e894caeffccdb62f9c644989a936dc7ec83cc747
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/