30.12.2021

Уязвимость BDU:2022-04749

Идентификатор: BDU:2022-04749.

Наименование уязвимости: Уязвимость обработчика вызовов ProcXkbSetDeviceInfo сервера X.Org Server, позволяющая нарушителю выполнить произвольный код или повысить свои привилегии.

Описание уязвимости: Уязвимость обработчика вызовов ProcXkbSetDeviceInfo сервера X.Org Server связана с записью данных за пределами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код или повысить свои привилегии
Уязвимое ПО: Операционная система Red Hat Inc. Red Hat Enterprise Linux 7 | Операционная система Canonical Ltd. Ubuntu 18.04 LTS | Операционная система Red Hat Inc. Red Hat Enterprise Linux 8 | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград» | Операционная система Canonical Ltd. Ubuntu 20.04 LTS | Операционная система Canonical Ltd. Ubuntu 16.04 ESM | Операционная система Fedora Project Fedora 35 | Операционная система Canonical Ltd. Ubuntu 21.10 | Операционная система ООО «Ред Софт» РЕД ОС 7.3 | Операционная система ФССП России ОС ТД АИС ФССП России ИК6 | Операционная система АО «ИВК» Альт 8 СП — | Операционная система Fedora Project Fedora 36 | Операционная система Canonical Ltd. Ubuntu 22.04 LTS | Операционная система Red Hat Inc. Red Hat Enterprise Linux 9 | ПО сетевого программно-аппаратного средства X.Org Foundation X.Org Server до 21.1.4 | Операционная система АО «НППКТ» ОСОН ОСнова Оnyx до 2.5.1 |

Возможные меры по устранению:
Использование рекомендаций:
Для X.Org Server:
https://gitlab.freedesktop.org/xorg/xserver/-/merge_requests/938
https://gitlab.freedesktop.org/xorg/xserver/-/merge_requests/939
https://gitlab.freedesktop.org/xorg/xserver/-/merge_requests/939/diffs?commit_id=06b23cccb1166fcccc2f5fe7259b3ef9e1d0f32e

Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-2320

Для Fedora:
https://bodhi.fedoraproject.org/updates/FEDORA-2022-8e787b2a5c
https://bodhi.fedoraproject.org/updates/FEDORA-2022-856bb475b7

Для Ubuntu:
https://ubuntu.com/security/notices/USN-5510-1
https://ubuntu.com/security/notices/USN-5510-2

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/

Для ОСОН Основа:
Обновление программного обеспечения xorg-server до версии 2:1.20.11-1+deb11u1.osnova1

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет xorg-server до 2:21.1.7-1ubuntu3astra.se4e2k или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-2320. ZDI-22-963. ZDI-CAN-16070.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://gitlab.freedesktop.org/xorg/xserver/-/merge_requests/938
https://gitlab.freedesktop.org/xorg/xserver/-/merge_requests/939
https://access.redhat.com/security/cve/CVE-2022-2320
https://bugzilla.redhat.com/show_bug.cgi?id=2106683
https://bodhi.fedoraproject.org/updates/FEDORA-2022-8e787b2a5c
https://bodhi.fedoraproject.org/updates/FEDORA-2022-856bb475b7
https://www.openwall.com/lists/oss-security/2022/07/12/1
https://ubuntu.com/security/notices/USN-5510-1
https://ubuntu.com/security/notices/USN-5510-2
https://www.zerodayinitiative.com/advisories/ZDI-22-963/
https://redos.red-soft.ru/support/secure/
https://goslinux.fssp.gov.ru/2726972/
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.5.1/
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81
https://altsp.su/obnovleniya-bezopasnosti/

Автор: ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.

Комментарии: