BDU:2022-02695: Уязвимость функции evdev_log_msg библиотеки libinput реализации протоколов серверов отображения X.Org и Wayland, позволяющая нарушителю выполнить произвольный код с повышенными привилегиями

Описание уязвимости Уязвимость функции evdev_log_msg библиотеки libinput реализации протоколов серверов отображения X.Org и Wayland связана с использованием неконтролируемых форматных строк. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код с повышенными привилегиями
Вендор Canonical Ltd., Сообщество свободного программного обеспечения, Red Hat Inc., Novell Inc., ООО «Ред Софт», ООО «РусБИТех-Астра», ФССП России, Free Desktop
Наименование ПО Ubuntu, Debian GNU/Linux, Red Hat Enterprise Linux, OpenSUSE Leap, РЕД ОС (запись в едином реестре российских программ №3751), Astra Linux Special Edition (запись в едином реестре российских программ №369), ОС ТД АИС ФССП России, libinput
Версия ПО
  • 18.04 LTS (Ubuntu)
  • 9.0 (Debian GNU/Linux)
  • 8.0 (Red Hat Enterprise Linux)
  • 10.0 (Debian GNU/Linux)
  • 20.04 LTS (Ubuntu)
  • 15.3 (OpenSUSE Leap)
  • 11.0 (Debian GNU/Linux)
  • 21.10 (Ubuntu)
  • 7.3 (РЕД ОС)
  • 1.7 (Astra Linux Special Edition)
  • ИК6 (ОС ТД АИС ФССП России)
  • до 1.20.1 (libinput)
  • 4.7 (Astra Linux Special Edition)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Тип ошибки Неконтролируемая форматная строка
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 20.04.2022
Базовый вектор уязвимости
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,2)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)
Возможные меры по устранению уязвимости
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
ограничение физического доступа к устройству в радиусе действия Bluetooth;
фильтрация строк небуквенного формата в именах подключаемых устройств (содержащих знак %).

Использование рекомендаций:
Для libinput:
https://gitlab.freedesktop.org/libinput/libinput/-/releases#1.20.1

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-1215

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-1215.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-1215

Для Ubuntu:
https://ubuntu.com/security/notices/USN-5382-1

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/

Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17

Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование ресурсами
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения