BDU:2021-03398: Уязвимость пакетного менеджера PackageKit, связанная с ошибками управления привилегиями, позволяющая нарушителю оказать воздействие на целостность данных

Описание уязвимости Уязвимость пакетного менеджера PackageKit связана с ошибками управления привилегиями. Эксплуатация уязвимости позволяет нарушителю оказать воздействие на целостность данных
Вендор ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, АО «Концерн ВНИИНС»
Наименование ПО Astra Linux Special Edition (запись в едином реестре российских программ №369), Debian GNU/Linux, Astra Linux Common Edition (запись в едином реестре российских программ №4433), PackageKit, ОС ОН «Стрелец» (запись в едином реестре российских программ №6177)
Версия ПО 1.6 «Смоленск» (Astra Linux Special Edition), 8.0 (Debian GNU/Linux), 9.0 (Debian GNU/Linux), 2.12 «Орёл» (Astra Linux Common Edition), 10.0 (Debian GNU/Linux), до 1.2.2 (PackageKit), 1.0 (ОС ОН «Стрелец»)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Тип ошибки Небезопасное управление привилегиями
Идентификатор типа ошибки CWE-269
Класс уязвимости Уязвимость кода
Дата выявления 04.06.2020
Базовый вектор уязвимости
  • CVSS 2.0: AV:L/AC:L/Au:N/C:N/I:P/A:N
  • CVSS 3.0: AV:L/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
Уровень опасности уязвимости Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 2,1) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для PackageKit:
https://github.com/PackageKit/PackageKit/commit/eb81e2f505684ffa0fcd0a461027af2d3b471a90

Для Debian:
https://security-tracker.debian.org/tracker/CVE-2020-16122

Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/pages/viewpage.action?pageId=47416144


Для ОС ОН «Стрелец»:
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Нарушение авторизации
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются