БДУ - Уязвимости

BDU:2021-02747: Уязвимость функции XLookupColor () библиотеки libX11, связанная с недостаточной проверкой вводимых данных, позволяющая нарушителю выполнить отказ в обслуживании

Описание уязвимости	Уязвимость функции XLookupColor () библиотеки libX11 связана с недостаточной проверкой вводимых данных. Эксплуатация уязвимости может позволить нарушителю выполнить отказа в обслуживании путем запуска в системе специально созданного приложения
Вендор	Red Hat Inc., Canonical Ltd., Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра», X.Org Foundation, ООО «Ред Софт», АО «ИВК», АО "НППКТ"
Наименование ПО	Red Hat Enterprise Linux, Ubuntu, Debian GNU/Linux, Astra Linux Common Edition (запись в едином реестре российских программ №4433), Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), Xlib (libX11), РЕД ОС (запись в едином реестре российских программ №3751), Astra Linux Special Edition (запись в едином реестре российских программ №369), Альт 8 СП, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО	7 (Red Hat Enterprise Linux) 18.04 LTS (Ubuntu) 9.0 (Debian GNU/Linux) 2.12 «Орёл» (Astra Linux Common Edition) 8 (Red Hat Enterprise Linux) 10.0 (Debian GNU/Linux) 14.04 ESM (Ubuntu) 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус») 20.04 LTS (Ubuntu) 20.10 (Ubuntu) 21.04 (Ubuntu) 16.04 ESM (Ubuntu) от 1.0.99.1 до 1.7.0 (Xlib (libX11)) 7.2 (РЕД ОС) 1.7 (Astra Linux Special Edition) 4.7 (Astra Linux Special Edition) - (Альт 8 СП) до 2.1 (ОСОН ОСнова Оnyx)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Red Hat Inc. Red Hat Enterprise Linux 7 Canonical Ltd. Ubuntu 18.04 LTS Сообщество свободного программного обеспечения Debian GNU/Linux 9.0 ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл» (запись в едином реестре российских программ №4433) Red Hat Inc. Red Hat Enterprise Linux 8 Сообщество свободного программного обеспечения Debian GNU/Linux 10.0 Canonical Ltd. Ubuntu 14.04 ESM ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград» (запись в едином реестре российских программ №11156) Canonical Ltd. Ubuntu 20.04 LTS Canonical Ltd. Ubuntu 20.10 Canonical Ltd. Ubuntu 21.04 Canonical Ltd. Ubuntu 16.04 ESM ООО «Ред Софт» РЕД ОС 7.2 (запись в едином реестре российских программ №3751) ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 (запись в едином реестре российских программ №369) ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 (запись в едином реестре российских программ №369)
Тип ошибки	Недостаточная проверка вводимых данных
Идентификатор типа ошибки	CWE-20
Класс уязвимости	Уязвимость кода
Дата выявления	09.05.2021
Базовый вектор уязвимости	CVSS 2.0: AV:L/AC:L/Au:N/C:N/I:N/A:P CVSS 3.0: AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L
Уровень опасности уязвимости	Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 2,1) Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 3,3)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для РЕД ОС: http://repo.red-soft.ru/redos/7.2c/x86_64/updates/ Для libX11: https://gitlab.freedesktop.org/xorg/lib/libx11/-/commit/8d2e02ae650f00c4a53deb625211a0527126c605 Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2021-31535 Для Ubuntu: https://ubuntu.com/security/notices/USN-4966-1 https://ubuntu.com/security/notices/USN-4966-2 Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2021-31535 Для ОС Astra Linux: использование рекомендаций производителя: https://wiki.astralinux.ru/pages/viewpage.action?pageId=47416144 https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81 https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17 https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47 Для ОС Альт 8 СП: Обновление программного обеспечения до актуальной версии Для ОСОН Основа: Обновление программного обеспечения libx11 до версии 2:1.6.7-1+deb10u2
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование ресурсами
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://access.redhat.com/security/cve/cve-2021-31535 https://altsp.su/obnovleniya-bezopasnosti/ https://gitlab.freedesktop.org/xorg/lib/libx11/-/commit/8d2e02ae650f00c4a53deb625211a0527126c605 https://redos.red-soft.ru/updatesec/ https://security-tracker.debian.org/tracker/CVE-2021-31535 https://ubuntu.com/security/notices/USN-4966-1 https://ubuntu.com/security/notices/USN-4966-2 https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17 https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47 https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81 https://wiki.astralinux.ru/pages/viewpage.action?pageId=47416144 https://www.cybersecurity-help.cz/vdb/SB2021051908 https://www.securitylab.ru/vulnerability/520334.php https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.1/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2021-31535
Прочая информация	Данные уточняются

Последние изменения

30.01.2023 Уязвимость SCADA-систем EcoStruxure Geo SCADA Expert 2020, EcoStruxure Geo SCADA Expert 2019, связанная с отсутствием защиты служебных данных, позволяющая нарушителю вызвать отказ в обслуживании
30.01.2023 Уязвимость реализации протокола Internet Key Exchange (IKE) операционных систем Windows, позволяющая нарушителю вызвать отказ в обслуживании
30.01.2023 Уязвимость библиотеки Microsoft DWM Core Library операционных систем Windows, позволяющая нарушителю повысить свои привилегии
30.01.2023 Уязвимость реализации протокола Point-to-Point Protocol (PPP) операционных систем Windows, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
30.01.2023 Уязвимость браузера Microsoft Edge, связанная с выходом операции за границы буфера в памяти, позволяющая нарушителю обойти ограничения безопасности и повысить свои привилегии
30.01.2023 Уязвимость службы Cryptographic Services операционных систем Windows, позволяющая нарушителю раскрыть защищаемую информацию
30.01.2023 Уязвимость компонента Win32k (Win32k.sys) операционной системы Windows, позволяющая нарушителю повысить свои привилегии
30.01.2023 Уязвимость компонента Overlay Filter операционных систем Windows, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
30.01.2023 Уязвимость файла fs/io_uring.c подсистемы io_uring ядра операционной системы Linux, позволяющая нарушителю вызвать отказ в обслуживании
30.01.2023 Уязвимость функции read_bbreg_hdl() в модуле drivers/staging/rtl8712/rtl8712_cmd.c Wi-Fi драйвера rtl8712 ядра операционной системы Linux, позволяющая нарушителю вызвато отказ в обслуживании

Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2021-02747: Уязвимость функции XLookupColor () библиотеки libX11, связанная с недостаточной проверкой вводимых данных, позволяющая нарушителю выполнить отказ в обслуживании