Обновления безопасности

Проверка целостности и подлинности пакетов обновлений

1. С помощью установленного криптопровайдера «КриптоПро»

Проверить подпись пакета обновлений возможно с помощью консольной утилиты cryptcp, входящей в состав КриптоПро CSP.
Для успешной проверки подписи необходимо скачать и установить в соответствующие хранилища цепочку сертификатов, списки отзыва и сам сертификат подписи. Ссылки на скачивание:

Корневой сертификат головного УЦ Минкомсвязи России

Список отзыва головного УЦ Минкомсвязи России
Промежуточный сертификат УЦ АО «ЕЭТП»
Список отзыва головного УЦ АО «ЕЭТП»
Сертификат подписи пакетов ООО «РЕД СОФТ»

Затем загрузите на компьютер пакет обновления и файл подписи.

Для проверки подписи выполните команду:
/opt/cprocsp/bin/amd64/cryptcp -verify -verall -detached <имя файла пакета обновления> <имя файла подписи пакета>
Пример команды:
/opt/cprocsp/bin/amd64/cryptcp -verify -verall -detached /home/user/pkgs/testfile.rpm /home/user/sgns/testfile.rpm.sgn

Так же возможна массовая проверка подписей. Для удобства загрузите пакеты обновлений в один каталог (например pkgs), а файлы подписи в другой (например sgns) и выполните команду:
/opt/cprocsp/bin/amd64/cryptcp -vsignf -dir <каталог подписей> <маска файлов>
Пример команды:
/opt/cprocsp/bin/amd64/cryptcp -vsignf -dir /home/user/sgns /home/user/pkgs/*

2. С помощью онлайн сервиса проверки электронной подписи КриптоПро DSS

Перейдите по ссылке на страницу проверки электронной подписи сервиса КриптоПро DSS: https://dss.cryptopro.ru/Verify/Verify/
В поле «Документ для проверки» выберите файл подписи.

В поле «Формат подписи» выберите вариант «Подпись в формате CMS».

В блоке «Параметры» укажите «Отсоединенная подпись», «Подпись данных» и «Алгоритм хеширования»«GR 34.11-2012 256».
В блоке «Исходный документ» выберите пакет обновления, соответствующий загруженному файлу подписи.
В блоке «Дополнительные проверки сертификата» установите флаг «Проверка требований к квалифицированному сертификату».

Нажмите кнопку «Проверить».
В результате должна открыться страница с результатом проверки ЭП, где «Результат проверки» должен быть «Подпись действительна».

3. С помощью менеджера пакетов ОС

Проверить дайджесты и подписи скачанного пакета можно командой:
# rpm --checksig <имя пакета>.rpm
Например:
# rpm --checksig ppp-2.4.7-22.el7.x86_64.rpm
ppp-2.4.7-22.el7.x86_64.rpm: digests Ок

Проверить информацию о пакете можно командой:
# rpm -qi <имя пакета>.rpm
Например:
# rpm -qi ppp-2.4.7-22.el7.x86_64.rpm
...
Packager : RED SOFT
Vendor : RED SOFT


Переход по ссылке в chrony (CVE-2020-14367)

1. Описание уязвимости:

CVE-2020-14367
Уязвимость позволяет удаленному злоумышленнику скомпрометировать целевую систему из-за проблем символической ссылки на сервис.

2. Возможные меры по устранению уязвимости

Не использовать сервис chrony
или
установить обновления безопасности для пакета:
chrony

Установка обновлений возможна следующими способами:
а) если компьютер с установленной версией ОС имеет доступ к официальному репозиторию производителя, необходимо запустить от имени администратора обновление командой:
# yum update
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.

б) если компьютер с установленной версией ОС не имеет доступа к официальному репозиторию производителя, необходимо выполнить следующие действия:
— скачать обновленный пакет (с зависимостями при необходимости):
http://repo.red-soft.ru/redos/7.2c/x86_64/updates/chrony-4.0-1.el7.x86_64.rpm

Проверить целостность и подлинность пакета по инструкции
Установить скачанный пакет(ы) командой:
# yum localinstall *.rpm
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.

Множественные уязвимости в Apache Tomcat (CVE-2021-25122, CVE-2021-25329)

1. Описание уязвимости:

CVE-2021-25122
CVE-2021-25329
Уязвимость позволяет удаленному злоумышленнику получить доступ к конфиденциальной информации.
Уязвимость существует из-за неправильного управления внутренними ресурсами в приложении при обработке новых запросов на соединение h2c. Удаленный злоумышленник может отправлять на сервер специально созданные запросы и получать содержимое HTTP-ответов, передаваемых другим пользователям.

2. Возможные меры по устранению уязвимости

Прекратить работу сервера приложений Apache Tomcat
или
— установить обновления безопасности для пакета (при необходимости с зависимостями):
tomcat

Установка обновлений возможна следующими способами:
а) если компьютер с установленной версией ОС имеет доступ к официальному репозиторию производителя, необходимо запустить от имени администратора обновление командой:
# yum update
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.

б) если компьютер с установленной версией ОС не имеет доступа к официальному репозиторию производителя, необходимо выполнить следующие действия:
— скачать обновленный пакет (с зависимостями при необходимости):
http://repo.red-soft.ru/redos/7.2c/x86_64/updates/tomcat-9.0.44-1.el7.noarch.rpm

Проверить целостность и подлинность пакета по инструкции
Установить скачанный пакет(ы) командой:
# yum localinstall *.rpm
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.

Переполнение буфера в Python3 (CVE-2021-3177)

1. Описание уязвимости:

CVE-2021-3177
Уязвимость способна привести к исполнению кода при обработке непроверенных чисел с плавающей запятой в обработчиках, вызывающих функции на языке Си при помощи механизма ctypes.

2. Возможные меры по устранению уязвимости

Запретить запуск python3
или
установить обновления безопасности для пакета:
python3

Установка обновлений возможна следующими способами:
а) если компьютер с установленной версией ОС имеет доступ к официальному репозиторию производителя, необходимо запустить от имени администратора обновление командой:
# yum update
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.

б) если компьютер с установленной версией ОС не имеет доступа к официальному репозиторию производителя, необходимо выполнить следующие действия:
— скачать обновленный пакет (с зависимостями при необходимости):
http://repo.red-soft.ru/redos/7.2c/x86_64/updates/python3-3.6.13-1.el7.x86_64.rpm

Проверить целостность и подлинность пакета по инструкции
Установить скачанный пакет(ы) командой:
# yum localinstall *.rpm
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.

Множественные уязвимости в LibTIFF

1. Описание уязвимости:

CVE-2020-35524
CVE-2020-35523
CVE-2020-35522
CVE-2020-35521
Уязвимость позволяет удаленному злоумышленнику выполнить произвольный код в целевой системе.
Уязвимость существует из-за граничной ошибки при обработке изображений TIFF.

2. Возможные меры по устранению уязвимости

Пользователь должен воздержаться от открытия файлов формат tiff
или
— установить обновления безопасности для пакета (при необходимости с зависимостями):
Libtiff

Установка обновлений возможна следующими способами:
а) если компьютер с установленной версией ОС имеет доступ к официальному репозиторию производителя, необходимо запустить от имени администратора обновление командой:
# yum update
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.

б) если компьютер с установленной версией ОС не имеет доступа к официальному репозиторию производителя, необходимо выполнить следующие действия:
— скачать обновленный пакет (с зависимостями при необходимости):
http://repo.red-soft.ru/redos/7.2c/x86_64/updates/libtiff-4.1.0-4.el7.x86_64.rpm

Проверить целостность и подлинность пакета по инструкции
Установить скачанный пакет(ы) командой:
# yum localinstall *.rpm
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.

Отказ в обслуживании в Open vSwitch (CVE-2020-35498)

1. Описание уязвимости:

Уязвимость позволяет удаленному злоумышленнику выполнить атаку типа «отказ в обслуживании» (DoS).

2. Возможные меры по устранению уязвимости

Отказаться от использования приложения Open vSwitch
или
установить обновления безопасности для пакета Openvswitch с зависимостями

Установка обновлений возможна следующими способами:
а) если компьютер с установленной версией ОС имеет доступ к официальному репозиторию производителя, необходимо запустить от имени администратора обновление командой:
# yum update
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.

б) если компьютер с установленной версией ОС не имеет доступа к официальному репозиторию производителя, необходимо выполнить следующие действия:
— скачать обновленный пакет (с зависимостями при необходимости):
http://repo.red-soft.ru/redos/7.2c/x86_64/updates/openvswitch-2.11.0-6.el7.x86_64.rpm

Проверить целостность и подлинность пакета по инструкции
Установить скачанный пакет(ы) командой:
# yum localinstall *.rpm
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.

Уязвимость в PPPD (CVE-2020-8597)

1. Описание уязвимости:

Проблема (CVE-2020-8597) представляет собой уязвимость переполнения буфера стека, возникшую из-за логической ошибки в EAP (Extensible Authentication Protocol) парсере пакетов в PPPD (функции eap_request() и eap_response() в eap.c). Уязвимость предоставляет возможность без авторизации удаленно выполнить произвольный код на уязвимых системах и получить полный контроль над ними. Для этого атакующему потребуется отправить специально сформированный EAP-пакет на уязвимый PPP-клиент или сервер.

2. Возможные меры по устранению уязвимости

— отказаться от использования демона протокола PPP (Point-to-Point Protocol) pppd
или
— установить обновления безопасности.

Установка обновлений возможна следующими способами:
а) если компьютер с установленной версией ОС имеет доступ к официальному репозиторию производителя, необходимо запустить от имени администратора обновление командой:
# yum update
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.
Обновлено:
ppp.x86_64 0:2.4.7-22.el7
Выполнено!

б) если компьютер с установленной версией ОС не имеет доступа к официальному репозиторию производителя, необходимо выполнить следующие действия:
— скачать обновленный пакет:

http://repo.red-soft.ru/redos/7.2c/x86_64/updates/ppp-2.4.7-22.el7.x86_64.rpm

Проверить целостность и подлинность пакета по инструкции
Установить скачанный пакет командой:
# yum localinstall ppp-2.4.7-22.el7.x86_64.rpm
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.
Обновлено:
ppp.x86_64 0:2.4.7-22.el7
Выполнено!

После выполнения обновления рекомендуется перезагрузить систему.

Уязвимость в браузере firefox (CVE-2020-6819 и CVE-2020-6820)

1. Описание уязвимости:

Обнаружены две критические уязвимости, которые могут привести к выполнению кода атакующего при обработке определённым образом оформленного контента. Предупреждается, что в сети уже выявлены факты применения данных уязвимостей для совершения атак. Проблемы вызваны обращением к уже освобождённым областям памяти (use-after-free) при обработке ReadableStream (CVE-2020-6820) и при выполнении деструктора nsDocShell (CVE-2020-6819).

2. Возможные меры по устранению уязвимости

Установить обновления безопасности.
Установка обновлений возможна следующими способами:
а) если компьютер с установленной версией ОС имеет доступ к официальному репозиторию производителя, необходимо запустить от имени администратора обновление командой:
# yum update
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.
б) если компьютер с установленной версией ОС не имеет доступа к официальному репозиторию производителя, необходимо выполнить следующие действия:
— скачать обновленный пакет:

http://repo.red-soft.ru/redos/7.2c/x86_64/updates/firefox-60.9.0-4.el7.x86_64.rpm

Проверить целостность и подлинность пакета по инструкции
Установить скачанный пакет командой:
# yum localinstall firefox-60.9.0-4.el7.x86_64.rpm
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.

После выполнения обновления рекомендуется перезагрузить браузер.

Уязвимость в OpenVPN (CVE-2020-11810)

1. Описание уязвимости:

Сформирован корректирующий выпуск пакета для создания виртуальных частных сетей OpenVPN 2.4.9. В новой версии устранена уязвимость (CVE-2020-11810), позволяющая перевести сеанс клиента на новый IP-адрес, который до этого не был авторизирован. Проблема может быть использована для прерывания только что подключившегося клиента на стадии, когда уже сформирован peer-id, но не завершено согласование сессионных ключей (один клиент может остановить сеансы других клиентов).

2. Возможные меры по устранению уязвимости

— отказаться от использования виртуальных частных сетей на базе OpenVPN
или
— установить обновления безопасности.
Установка обновлений возможна следующими способами:
а) если компьютер с установленной версией ОС имеет доступ к официальному репозиторию производителя, необходимо запустить от имени администратора обновление командой:
# yum update
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.
б) если компьютер с установленной версией ОС не имеет доступа к официальному репозиторию производителя, необходимо выполнить следующие действия:
— скачать обновленный пакет:

http://repo.red-soft.ru/RedOS/7.2c/x86_64/updates/openvpn-2.4.9-1.el7.x86_64.rpm

Проверить целостность и подлинность пакета по инструкции
Установить скачанный пакет командой:
# yum localinstall openvpn-2.4.9-1.el7.x86_64.rpm
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.

Уязвимость в Git (CVE-2020-11008, CVE-2020-5260)

1. Описание уязвимости:

Уязвимость в Git. Уязвимость затрагивает обработчики «credential.helper» и эксплуатируется при передаче специально оформленного URL, содержащего символ новой строки, пустой хост или не указанную схему запроса. При обработке подобного URL credential.helper отправляет информацию об учётных данных, не соответствующих запрошенному протоколу или хосту, к которому осуществляется обращение.

2. Возможные меры по устранению уязвимости

— отказаться от использования системы управления исходными текстами Git;
— не использовать credential.helper при обращении к публичным репозиториям и не применять «git clone» в режиме «—recurse-submodules» с непроверенными репозиториями;
или
— установить обновления безопасности для пакета: git-1.8.3
Установка обновлений возможна следующими способами:
а) если компьютер с установленной версией ОС имеет доступ к официальному репозиторию производителя, необходимо запустить от имени администратора обновление командой:
# yum update
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.
б) если компьютер с установленной версией ОС не имеет доступа к официальному репозиторию производителя, необходимо выполнить следующие действия:
— скачать обновленный пакет (и зависимости при необходимости):

http://repo.red-soft.ru/redos/7.2c/x86_64/updates/git-1.8.3.1-14.el7.x86_64.rpm

Проверить целостность и подлинность пакета по инструкции
Установить скачанный пакет командой:
# yum localinstall git-1.8.3.1-14.el7.x86_64.rpm
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.

Уязвимость в VLC (CVE-2019-19721, CVE-2020-6071, CVE-2020-6072, CVE-2020-6073, CVE-2020-6077, CVE-2020-6078, CVE-2020-6079)

1. Описание уязвимости:

Уязвимость позволяет удаленному пользователю:
— создать специальный файл изображения, который может вызвать чтение вне границ,
— отправить специально созданный запрос на обнаружение службы microdns, потенциально вызывая различные проблемы управления памятью.

2. Возможные меры по устранению уязвимости

Пользователь должен воздержаться от открытия файлов от ненадежных третьих сторон или доступа к ненадежным удаленным сайтам (или отключить плагины браузера VLC), пока не будет применено исправление. Пока VLC не будет обновлен не рекомендуется использовать обнаружение сети.
или
— установить обновления безопасности для пакета:
vlc-3.0.4
Установка обновлений возможна следующими способами:
а) если компьютер с установленной версией ОС имеет доступ к официальному репозиторию производителя, необходимо запустить от имени администратора обновление командой:
# yum update
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.
б) если компьютер с установленной версией ОС не имеет доступа к официальному репозиторию производителя, необходимо выполнить следующие действия:
— скачать обновленный пакет (и зависимости при необходимости):

http://repo.red-soft.ru/redos/7.2c/x86_64/updates/vlc-3.0.10-1.el7.x86_64.rpm

Проверить целостность и подлинность пакета по инструкции
Установить скачанный пакет командой:
# yum localinstall vlc-3.0.10-1.el7.x86_64.rpm
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.

Уязвимость в DNS-сервере BIND

1. Описание уязвимости:

Проблема безопасности связана с неэффективностью защиты от атак «DNS rebinding» при работе в режиме перенаправляющего запросы DNS-сервера (блок «forwarders» в настройках).

2. Возможные меры по устранению уязвимости

Отключить DNS сервер BIND
или
— установить обновления безопасности для пакета:
bind-9.11.4-6
Установка обновлений возможна следующими способами:
а) если компьютер с установленной версией ОС имеет доступ к официальному репозиторию производителя, необходимо запустить от имени администратора обновление командой:
# yum update
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.
б) если компьютер с установленной версией ОС не имеет доступа к официальному репозиторию производителя, необходимо выполнить следующие действия:
— скачать обновленный пакет (и зависимости при необходимости):

http://repo.red-soft.ru/redos/7.2c/x86_64/updates/bind-9.11.4-6.P2.el7.x86_64.rpm

Проверить целостность и подлинность пакета по инструкции
Установить скачанный пакет командой:
# yum localinstall bind-9.11.4-6.P2.el7.x86_64.rpm
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.

Уязвимость в FreeRDP

1. Описание уязвимости:

Устранено восемь уязвимостей. Пять проблем могут привести к краху или утечке данных в результате чтения из областей за пределами выделенного буфера. Одна проблема приводит к целочисленному переполнению. Три проблемы могут привести к переполнению буфера в обработчиках cliprdr_server_receive_capabilities и URBDRC.

2. Возможные меры по устранению уязвимости

— отказаться от использования протокола удалённого доступа к рабочему столу RDP (Remote Desktop Protocol)
или
— установить обновления безопасности для пакета:
freerdp-2.1.0

Установка обновлений возможна следующими способами:
а) если компьютер с установленной версией ОС имеет доступ к официальному репозиторию производителя, необходимо запустить от имени администратора обновление командой:
# yum update
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.
б) если компьютер с установленной версией ОС не имеет доступа к официальному репозиторию производителя, необходимо выполнить следующие действия:
— скачать обновленный пакет (и зависимости при необходимости):

http://repo.red-soft.ru/redos/7.2c/x86_64/updates/freerdp-2.1.0-2.el7.x86_64.rpm

Проверить целостность и подлинность пакета по инструкции
Установить скачанный пакет командой:
# yum localinstall freerdp-2.1.0-2.el7.x86_64.rpm
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.

Уязвимости в прокси-сервере Squid

1. Описание уязвимости:

Проблемы присутствуют в коде обработки блока «@» в начале URL («user@host») и позволяют обойти правила ограничения доступа, отравить содержимое кэша и совершать атаку с использованием межсайтового скриптинга.

2. Возможные меры по устранению уязвимости

Не использовать прокси-сервер Squid
или
— установить обновления безопасности для пакета:
squid-3.5.27
Установка обновлений возможна следующими способами:
а) если компьютер с установленной версией ОС имеет доступ к официальному репозиторию производителя, необходимо запустить от имени администратора обновление командой:
# yum update
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.
б) если компьютер с установленной версией ОС не имеет доступа к официальному репозиторию производителя, необходимо выполнить следующие действия:
— скачать обновленный пакет (и зависимости при необходимости):

http://repo.red-soft.ru/redos/7.2c/x86_64/updates/squid-3.5.27-1.el7.x86_64.rpm

Проверить целостность и подлинность пакета по инструкции
Установить скачанный пакет командой:
# yum localinstall squid-3.5.27-1.el7.x86_64.rpm
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.

Уязвимость в VLC (CVE-2020-13428)

1. Описание уязвимости:

Уязвимость в плеере VLC 3.0.11. Уязвимость может вызывать переполнение буфера в функции hxxx_AnnexB_to_xVC().
Уязвимость потенциально позволяет организовать выполнение кода атакующего при воспроизведении специально оформленного видео в формате H.264 (Annex-B), упакованного, например, в контейнер AVI.

2. Возможные меры по устранению уязвимости

Пользователь должен воздержаться от открытия файлов от ненадежных третьих сторон или использования плеера VLC, пока не будет применено исправление.
или
— установить обновления безопасности для пакета:
vlc-3.0.11
Установка обновлений возможна следующими способами:
а) если компьютер с установленной версией ОС имеет доступ к официальному репозиторию производителя, необходимо запустить от имени администратора обновление командой:
# yum update
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.
б) если компьютер с установленной версией ОС не имеет доступа к официальному репозиторию производителя, необходимо выполнить следующие действия:
— скачать обновленный пакет (и зависимости при необходимости):

http://repo.red-soft.ru/redos/7.2c/x86_64/updates/vlc-3.0.11-1.el7.x86_64.rpm

Проверить целостность и подлинность пакета по инструкции
Установить скачанный пакет командой:
# yum localinstall vlc-3.0.11-1.el7.x86_64.rpm
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.

Уязвимость в Curl (CVE-2020-8177)

1. Описание уязвимости:

Уязвимость позволяет перезаписать локальный файл в системе при обращении к подконтрольному атакующему серверу. Проблема проявляется только при одновременном использовании опций «-J» («—remote-header-name») и «-i» («—head»). Опция «-J» позволяет сохранить файл с именем, указанным в заголовке «Content-Disposition». В случае если файл с таким именем уже существует, программа curl в штатном режиме отказывается выполнить перезапись, но в случае наличия опции «-i» логика проверки нарушается и файл перезаписывается (проверка осуществляется на этапе получения тела ответа, но при опции «-i» вначале выводятся HTTP-заголовки и они успевают сохраниться до начала обработки тела ответа). В файл записываются только HTTP-заголовки, но сервер может отдать вместо заголовков произвольные данные и они будут записаны.

2. Возможные меры по устранению уязвимости

Необходимо запретить использование утилиты curl.
или
— установить обновления безопасности для пакета:
curl-7.61.1
Установка обновлений возможна следующими способами:
а) если компьютер с установленной версией ОС имеет доступ к официальному репозиторию производителя, необходимо запустить от имени администратора обновление командой:
# yum update
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.
б) если компьютер с установленной версией ОС не имеет доступа к официальному репозиторию производителя, необходимо выполнить следующие действия:
— скачать обновленный пакет (и зависимости при необходимости):

http://repo.red-soft.ru/redos/7.2c/x86_64/updates/curl-7.61.1-14.el7.x86_64.rpm

Проверить целостность и подлинность пакета по инструкции
Установить скачанный пакет командой:
# yum localinstall curl-7.61.1-14.el7.x86_64.rpm
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.

Уязвимость в X.Org Server и libX11 (CVE-2020-14347, CVE-2020-14344)

1. Описание уязвимости:

CVE-2020-14347 — отсутствие инициализации памяти при выделении буферов для пиксельных карт при помощи вызова AllocatePixmap() может привести к утечке X-клиенту содержимого памяти из кучи, когда X-сервер работает с повышенными привилегиями.
CVE-2020-14344 — целочисленное переполнение в реализации XIM (Input Method) в libX11, которое может привести к повреждению областей памяти в куче при обработке специально оформленных сообщений от метода ввода.

2. Возможные меры по устранению уязвимости

Установить обновления безопасности для пакетов:
libX11* и xorg-x11*
Установка обновлений возможна следующими способами:
а) если компьютер с установленной версией ОС имеет доступ к официальному репозиторию производителя, необходимо запустить от имени администратора обновление командой:
# yum update
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.
б) если компьютер с установленной версией ОС не имеет доступа к официальному репозиторию производителя, необходимо выполнить следующие действия:
— скачать обновленный пакет (и зависимости при необходимости):

http://repo.red-soft.ru/redos/7.2c/x86_64/updates/

Проверить целостность и подлинность пакета по инструкции
Установить скачанный пакет командой:
# yum localinstall libX11* xorg-x11*
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.

Уязвимость в системной библиотеке GNU C Library (glibc) 2.32 (CVE-2016-10228,CVE-2020-10029)

1. Описание уязвимости:

CVE-2016-10228
Зацикливание в утилите iconv, проявляющееся при запуске с опцией «-c», в случае обработки некорректных многобайтовых данных.
CVE-2020-10029
Повреждение стека при вызове тригонометрических функций с псевдонулевым аргументом.

2. Возможные меры по устранению уязвимости

установить обновления безопасности для пакета:
glibc
Установка обновлений возможна следующими способами:
а) если компьютер с установленной версией ОС имеет доступ к официальному репозиторию производителя, необходимо запустить от имени администратора обновление командой:
# yum update
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.
б) если компьютер с установленной версией ОС не имеет доступа к официальному репозиторию производителя, необходимо выполнить следующие действия:
— скачать обновленный пакет (и зависимости при необходимости):

http://repo.red-soft.ru/redos/7.2c/x86_64/updates/glibc-2.25-10.el7.x86_64.rpm

Проверить целостность и подлинность пакета по инструкции
Установить скачанный пакет командой:
# yum localinstall *.rpm
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.

Уязвимость в sudo (CVE-2021-3156)

1. Описание уязвимости:

Уязвимость позволяет получить доступ с правами root без прохождения аутентификации и без наличия необходимых полномочий. Проблема может быть эксплуатирована любым пользователем, независимо от присутствия в системных группах и наличия записи в файле /etc/sudoers. Для атаки не требуется ввод пароля пользователя, т.е. уязвимость может применяться посторонним для повышения привилегий в системе после компрометации уязвимости в непривилегированном процессе (в том числе запускаемом под пользователем «nobody»).

2. Возможные меры по устранению уязвимости

установить обновления безопасности для пакета:
sudo
Установка обновлений возможна следующими способами:
а) если компьютер с установленной версией ОС имеет доступ к официальному репозиторию производителя, необходимо запустить от имени администратора обновление командой:
# yum update
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.
б) если компьютер с установленной версией ОС не имеет доступа к официальному репозиторию производителя, необходимо выполнить следующие действия:
— скачать обновленный пакет (и зависимости при необходимости):

http://repo.red-soft.ru/redos/7.2c/x86_64/updates/sudo-1.8.29-0.1.el7.x86_64.rpm

Проверить целостность и подлинность пакета по инструкции
Установить скачанный пакет командой:
# yum localinstall *.rpm
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.

Множественные уязвимости в Moodle

1. Описание уязвимости:

Обнаруженная уязвимость позволяет удаленному злоумышленнику выполнять атаки с использованием межсайтовых сценариев (XSS).
Уязвимость позволяет удаленному пользователю получить несанкционированный доступ к другим ограниченным функциям.
Уязвимость позволяет удаленному злоумышленнику выполнить атаку отказа в обслуживании (DoS).
Уязвимость позволяет удаленному администратору включать и выполнять произвольные файлы PHP на сервере.

2. Возможные меры по устранению уязвимости

Прекратить использование moodle
или
— установить обновления безопасности для пакета:
moodle
Установка обновлений возможна следующими способами:
а) если компьютер с установленной версией ОС имеет доступ к официальному репозиторию производителя, необходимо запустить от имени администратора обновление командой:
# yum update
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.
б) если компьютер с установленной версией ОС не имеет доступа к официальному репозиторию производителя, необходимо выполнить следующие действия:
— скачать обновленный пакет (и зависимости при необходимости):

http://repo.red-soft.ru/redos/7.2c/x86_64/updates/moodle-3.10.1-0.1.el7.noarch.rpm

Проверить целостность и подлинность пакета по инструкции
Установить скачанный пакет командой:
# yum localinstall *.rpm
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.

Уязвимость в VLC (CVE-2021-3185)

1. Описание уязвимости:

Уязвимость в реализации модуля h264parse, развиваемого проектом GStreamer (входит в набор gstreamer-plugins-bad). Проблема вызвана переполнением буфера в функции gst_h264_slice_parse_dec_ref_pic_marking и позволяет организовать выполнение своего кода при обработке в Gstreamer специально оформленных данных в формате H.264.

2. Возможные меры по устранению уязвимости

Пользователь должен воздержаться от открытия файлов от ненадежных третьих сторон или использования плеера VLC, пока не будет применено исправление.
или
— установить обновления безопасности для пакета:
vlc
Установка обновлений возможна следующими способами:
а) если компьютер с установленной версией ОС имеет доступ к официальному репозиторию производителя, необходимо запустить от имени администратора обновление командой:
# yum update
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.
б) если компьютер с установленной версией ОС не имеет доступа к официальному репозиторию производителя, необходимо выполнить следующие действия:
— скачать обновленный пакет (и зависимости при необходимости):

http://repo.red-soft.ru/redos/7.2c/x86_64/updates/gstreamer1-plugins-bad-free-1.10.4-4.el7.x86_64.rpm
http://repo.red-soft.ru/redos/7.2c/x86_64/updates/vlc-3.0.12-0.1.el7.x86_64.rpm

Проверить целостность и подлинность пакета по инструкции
Установить скачанный пакет командой:
# yum localinstall *.rpm
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.

Открытое перенаправление в aiohttp (CVE-2021-21330)

1. Описание уязвимости:

Уязвимость позволяет осуществить межсайтовый скриптинг и выполнить обход ограничений безопасности.

2. Возможные меры по устранению уязвимости

Необходимо запретить использование приложений использующих aiohttp.
или
— установить обновления безопасности для пакета:
python3-aiohttp с зависимостями
Установка обновлений возможна следующими способами:
а) если компьютер с установленной версией ОС имеет доступ к официальному репозиторию производителя, необходимо запустить от имени администратора обновление командой:
# yum update
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.
б) если компьютер с установленной версией ОС не имеет доступа к официальному репозиторию производителя, необходимо выполнить следующие действия:
— скачать обновленный пакет (и зависимости при необходимости):
http://repo.red-soft.ru/redos/7.2c/x86_64/updates/python3-aiohttp-3.7.4-0.1.el7.x86_64.rpm
http://repo.red-soft.ru/redos/7.2c/x86_64/updates/python3-async-timeout-3.0.1-0.1.el7.noarch.rpm
http://repo.red-soft.ru/redos/7.2c/x86_64/updates/python3-multidict-4.5.2-0.1.el7.x86_64.rpm
Проверить целостность и подлинность пакета по инструкции
Установить скачанный пакет командой:
# yum localinstall *.rpm
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.

Если вы нашли ошибку, выделите текст и нажмите Ctrl+Enter.

Print Friendly, PDF & Email