20.04.2022

Уязвимость BDU:2022-02695

Идентификатор: BDU:2022-02695.

Наименование уязвимости: Уязвимость функции evdev_log_msg библиотеки libinput реализации протоколов серверов отображения X.Org и Wayland, позволяющая нарушителю выполнить произвольный код с повышенными привилегиями.

Описание уязвимости: Уязвимость функции evdev_log_msg библиотеки libinput реализации протоколов серверов отображения X.Org и Wayland связана с использованием неконтролируемых форматных строк. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код с повышенными привилегиями
Уязвимое ПО: Операционная система Debian GNU/Linux 9 | Операционная система Canonical Ltd. Ubuntu 18.04 LTS | Операционная система Red Hat Inc. Red Hat Enterprise Linux 8.0 | Операционная система Debian GNU/Linux 10 | Операционная система Canonical Ltd. Ubuntu 20.04 LTS | Операционная система Novell Inc. OpenSUSE Leap 15.3 | Операционная система Debian GNU/Linux 11 | Операционная система Canonical Ltd. Ubuntu 21.10 | Операционная система ООО «Ред Софт» РЕД ОС 7.3 | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 | Операционная система ФССП России ОС ТД АИС ФССП России ИК6 | Прикладное ПО информационных систем Free Desktop libinput до 1.20.1 | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 | Операционная система АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1 |

Возможные меры по устранению:
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
ограничение физического доступа к устройству в радиусе действия Bluetooth;
фильтрация строк небуквенного формата в именах подключаемых устройств (содержащих знак %).

Использование рекомендаций:
Для libinput:
https://gitlab.freedesktop.org/libinput/libinput/-/releases#1.20.1

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-1215

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-1215.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-1215

Для Ubuntu:
https://ubuntu.com/security/notices/USN-5382-1

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/

Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17

Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47

Для системы управления средой виртуализации «ROSA Virtualization» : https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2317.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-1215.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://gitlab.freedesktop.org/libinput/libinput/-/releases#1.20.1
https://security-tracker.debian.org/tracker/CVE-2022-1215
https://www.suse.com/security/cve/CVE-2022-1215.html
https://access.redhat.com/security/cve/CVE-2022-1215
https://ubuntu.com/security/notices/USN-5382-1
https://redos.red-soft.ru/support/secure/
https://goslinux.fssp.gov.ru/2726972/
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47
https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2317

Автор: ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.

Комментарии: