The OVAL Astra Linux 5.11.1 2026-03-06T15:30:23.109194+00:00 Astra Linux 1.7 libdbi-perl An issue was discovered in the DBI module through 1.643 for Perl. DBD::File drivers can open files from folders other than those specifically passed via the f_dir attribute in the data source name (DSN). NOTE: this issue exists because of an incomplete fix for CVE-2014-10401. [NistCWE(cwe='CWE-732')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:P/I:N/A:P', score=3.6) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:L', score=6.1) Astra Linux 1.7 rustc In the standard library in Rust before 1.2.0, BinaryHeap is not panic-safe. The binary heap is left in an inconsistent state when the comparison of generic elements inside sift_up or sift_down_range panics. This bug leads to a drop of zeroed memory as an arbitrary type, which can result in a memory safety violation. [NistCWE(cwe='CWE-119')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) Astra Linux 1.7 rustc In the standard library in Rust before 1.19.0, there is a synchronization problem in the MutexGuard object. MutexGuards can be used across threads with any types, allowing for memory safety issues through race conditions. [NistCWE(cwe='CWE-362')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N', score=5.9) Astra Linux 1.7 avahi avahi-daemon in Avahi through 0.6.32 and 0.7 inadvertently responds to IPv6 unicast queries with source addresses that are not on-link, which allows remote attackers to cause a denial of service (traffic amplification) and may cause information leakage by obtaining potentially sensitive information from the responding device via port-5353 UDP packets. NOTE: this may overlap CVE-2015-2809. [NistCWE(cwe='CWE-346'), NistCWE(cwe='CWE-346')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:N/A:P', score=6.4) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H', score=9.1) - Проверить необходимость локального обнаружения переферийных устройств. Если не нужно, то отключить демон avahi: ` sudo systemctl disable avahi-daemon. service && sudo systemctl disable avahi-daemon.socket ` - Проверить состояние демона: ` sudo systemctl status avahi-daemon ` Astra Linux 1.7 beep beep version 1.3 and up contains a External Control of File Name or Path vulnerability in --device option that can result in Local unprivileged user can inhibit execution of arbitrary programs by other users, allowing DoS. This attack appear to be exploitable via The system must allow local users to run beep. [NistCWE(cwe='CWE-22')] NistCVSS2(cvss='AV:L/AC:M/Au:N/C:N/I:N/A:P', score=1.9) NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H', score=4.7) Astra Linux 1.7 rustc In the standard library in Rust before 1.29.0, there is weak synchronization in the Arc::get_mut method. This synchronization issue can be lead to memory safety issues through race conditions. [NistCWE(cwe='CWE-662')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N', score=5.9) Astra Linux 1.7 libwebp A heap-based buffer overflow was found in libwebp in versions before 1.0.1 in GetLE16(). [NistCWE(cwe='CWE-125'), NistCWE(cwe='CWE-125')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:N/A:P', score=6.4) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H', score=9.1) Astra Linux 1.7 libwebp A heap-based buffer overflow was found in libwebp in versions before 1.0.1 in ApplyFilter(). [NistCWE(cwe='CWE-125'), NistCWE(cwe='CWE-125')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:N/A:P', score=6.4) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H', score=9.1) Astra Linux 1.7 libwebp A heap-based buffer overflow was found in libwebp in versions before 1.0.1 in PutLE16(). [NistCWE(cwe='CWE-787'), NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:P/A:P', score=7.5) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) Astra Linux 1.7 libwebp A heap-based buffer overflow was found in libwebp in versions before 1.0.1 in GetLE24(). [NistCWE(cwe='CWE-125'), NistCWE(cwe='CWE-125')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:N/A:P', score=6.4) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H', score=9.1) Astra Linux 1.7 libwebp A heap-based buffer overflow was found in libwebp in versions before 1.0.1 in ShiftBytes(). [NistCWE(cwe='CWE-125'), NistCWE(cwe='CWE-125')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:N/A:P', score=6.4) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H', score=9.1) Astra Linux 1.7 libwebp A use of uninitialized value was found in libwebp in versions before 1.0.1 in ReadSymbol(). [NistCWE(cwe='CWE-908'), NistCWE(cwe='CWE-908')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:P/A:P', score=7.5) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) Astra Linux 1.7 ntp ntpd in ntp 4.2.8p10, 4.2.8p11, 4.2.8p12 and 4.2.8p13 allow remote attackers to prevent a broadcast client from synchronizing its clock with a broadcast NTP server via soofed mode 3 and mode 5 packets. The attacker must either be a part of the same broadcast network or control a slave in that broadcast network that can capture certain required packets on the attacker's behalf and send them to the attacker. [NistCWE(cwe='CWE-20')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L', score=5.3) - Исключить из автозапуска сетевой сервис (стандартная конфигурация ОС) - Обеспечить возможность запуска ntp только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 ansible A flaw was discovered in the way Ansible templating was implemented in versions before 2.6.18, 2.7.12 and 2.8.2, causing the possibility of information disclosure through unexpected variable substitution. By taking advantage of unintended variable substitution the content of any variable may be disclosed. [NistCWE(cwe='CWE-200'), NistCWE(cwe='CWE-200')] NistCVSS2(cvss='AV:N/AC:L/Au:S/C:P/I:P/A:N', score=5.5) NistCVSS3(cvss='AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N', score=4.6) - Обеспечить возможность запуска ansible только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Обеспечить применение ПО ansible только на выделенном уровне целостности Astra Linux 1.7 ansible ansible-playbook -k and ansible cli tools, all versions 2.8.x before 2.8.4, all 2.7.x before 2.7.13 and all 2.6.x before 2.6.19, prompt passwords by expanding them from templates as they could contain special characters. Passwords should be wrapped to prevent templates trigger and exposing them. [NistCWE(cwe='CWE-522'), NistCWE(cwe='CWE-522')] NistCVSS2(cvss='AV:N/AC:L/Au:S/C:P/I:N/A:N', score=4.0) NistCVSS3(cvss='AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:N', score=6.4) - Обеспечить возможность запуска ansible только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Обеспечить применение ПО ansible только на выделенном уровне целостности Astra Linux 1.7 jetty9 In Eclipse Jetty version 9.2.26 and older, 9.3.25 and older, and 9.4.15 and older, the server is vulnerable to XSS conditions if a remote client USES a specially formatted URL against the DefaultServlet or ResourceHandler that is configured for showing a Listing of directory contents. [NistCWE(cwe='CWE-79'), NistCWE(cwe='CWE-79')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N', score=6.1) - Удалить ПО jetty9, если оно не используется и не является зависимостью других пакетов - Отказаться от использования ПО jetty9 - Обеспечить возможность запуска ПО jetty9 только доверенными пользователями ОС - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.7 jetty9 In Eclipse Jetty version 7.x, 8.x, 9.2.27 and older, 9.3.26 and older, and 9.4.16 and older, the server running on any OS and Jetty version combination will reveal the configured fully qualified directory base resource location on the output of the 404 error for not finding a Context that matches the requested path. The default server behavior on jetty-distribution and jetty-home will include at the end of the Handler tree a DefaultHandler, which is responsible for reporting this 404 error, it presents the various configured contexts as HTML for users to click through to. This produced HTML includes output that contains the configured fully qualified directory base resource location for each context. [NistCWE(cwe='CWE-213'), NistCWE(cwe='CWE-200')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:N/A:N', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N', score=5.3) - Удалить ПО jetty9, если оно не используется и не является зависимостью других пакетов - Отказаться от использования ПО jetty9 - Обеспечить возможность запуска ПО jetty9 только доверенными пользователями ОС - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.7 wireshark In Wireshark 3.0.0 to 3.0.2, 2.6.0 to 2.6.9, and 2.4.0 to 2.4.15, the ASN.1 BER dissector and related dissectors could crash. This was addressed in epan/asn1.c by properly restricting buffer increments. [NistCWE(cwe='CWE-119')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) Astra Linux 1.7 edk2 Null pointer dereference in Tianocore EDK2 may allow an authenticated user to potentially enable escalation of privilege via local access. [NistCWE(cwe='CWE-476')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:P/I:P/A:P', score=4.6) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) Astra Linux 1.7 ansible In Ansible, all Ansible Engine versions up to ansible-engine 2.8.5, ansible-engine 2.7.13, ansible-engine 2.6.19, were logging at the DEBUG level which lead to a disclosure of credentials if a plugin used a library that logged credentials at the DEBUG level. This flaw does not affect Ansible modules, as those are executed in a separate process. [NistCWE(cwe='CWE-117'), NistCWE(cwe='CWE-532')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:P/I:N/A:N', score=2.1) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H', score=7.3) - Обеспечить возможность запуска ansible только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Обеспечить применение ПО ansible только на выделенном уровне целостности Astra Linux 1.7 ansible Ansible, versions 2.9.x before 2.9.1, 2.8.x before 2.8.7 and Ansible versions 2.7.x before 2.7.15, is not respecting the flag no_log set it to True when Sumologic and Splunk callback plugins are used send tasks results events to collectors. This would discloses and collects any sensitive data. [NistCWE(cwe='CWE-117'), NistCWE(cwe='CWE-532')] NistCVSS2(cvss='AV:N/AC:L/Au:S/C:P/I:N/A:N', score=4.0) NistCVSS3(cvss='AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N', score=5.7) - Обеспечить возможность запуска ansible только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Обеспечить применение ПО ansible только на выделенном уровне целостности Astra Linux 1.7 ansible A flaw was found in the solaris_zone module from the Ansible Community modules. When setting the name for the zone on the Solaris host, the zone name is checked by listing the process with the 'ps' bare command on the remote machine. An attacker could take advantage of this flaw by crafting the name of the zone and executing arbitrary commands in the remote host. Ansible Engine 2.7.15, 2.8.7, and 2.9.2 as well as previous versions are affected. [NistCWE(cwe='CWE-20'), NistCWE(cwe='CWE-78')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:C/I:P/A:P', score=6.1) NistCVSS3(cvss='AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:L/A:L', score=7.3) - Обеспечить возможность запуска ansible только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Обеспечить применение ПО ansible только на выделенном уровне целостности Astra Linux 1.7 http-parser HTTP request smuggling in Node.js 10, 12, and 13 causes malicious payload delivery when transfer-encoding is malformed [NistCWE(cwe='CWE-444'), NistCWE(cwe='CWE-444')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:P/A:P', score=7.5) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) Astra Linux 1.7 opensc OpenSC before 0.20.0-rc1 has an out-of-bounds access of an ASN.1 Bitstring in decode_bit_string in libopensc/asn1.c. [NistCWE(cwe='CWE-119')] NistCVSS2(cvss='AV:L/AC:M/Au:N/C:P/I:P/A:P', score=4.4) NistCVSS3(cvss='AV:P/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H', score=6.4) - Использовать пакет opensc только при отсутствии альтернатив - Обеспечить возможность запуска opensc только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 opensc OpenSC before 0.20.0-rc1 has an out-of-bounds access of an ASN.1 Octet string in asn1_decode_entry in libopensc/asn1.c. [NistCWE(cwe='CWE-119')] NistCVSS2(cvss='AV:L/AC:M/Au:N/C:P/I:P/A:P', score=4.4) NistCVSS3(cvss='AV:P/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H', score=6.4) - Использовать пакет opensc только при отсутствии альтернатив - Обеспечить возможность запуска opensc только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 wireshark In Wireshark 3.0.0 to 3.0.3 and 2.6.0 to 2.6.10, the Gryphon dissector could go into an infinite loop. This was addressed in plugins/epan/gryphon/packet-gryphon.c by checking for a message length of zero. [NistCWE(cwe='CWE-835')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:C', score=7.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) Astra Linux 1.7 hunspell Hunspell 1.7.0 has an invalid read operation in SuggestMgr::leftcommonsubstring in suggestmgr.cxx. [NistCWE(cwe='CWE-119')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:N/A:P', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H', score=6.5) Astra Linux 1.7 aspell libaspell.a in GNU Aspell before 0.60.8 has a stack-based buffer over-read in acommon::unescape in common/getdata.cpp via an isolated \ character. [NistCWE(cwe='CWE-125')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:N/A:P', score=6.4) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H', score=9.1) Astra Linux 1.7 apache2 Apache HTTP Server versions 2.4.6 to 2.4.46 mod_proxy_wstunnel configured on an URL that is not necessarily Upgraded by the origin server was tunneling the whole connection regardless, thus allowing for subsequent requests on the same connection to pass through with no HTTP validation, authentication or authorization possibly configured. [NistCWE(cwe='CWE-444')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:P/A:N', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N', score=5.3) - Обеспечить возможность использования библиотеки libapache2-mod-nss только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 opensc An issue was discovered in OpenSC through 0.19.0 and 0.20.x through 0.20.0-rc3. libopensc/card-setcos.c has an incorrect read operation during parsing of a SETCOS file attribute. [NistCWE(cwe='CWE-125')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:P/I:N/A:N', score=2.1) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N', score=5.5) - Использовать пакет opensc только при отсутствии альтернатив - Обеспечить возможность запуска opensc только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 wireshark In Wireshark 3.0.0 to 3.0.6 and 2.6.0 to 2.6.12, the CMS dissector could crash. This was addressed in epan/dissectors/asn1/cms/packet-cms-template.c by ensuring that an object identifier is set to NULL after a ContentInfo dissection. [NistCWE(cwe='CWE-909')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) Astra Linux 1.7 htmldoc HTMLDOC 1.9.7 allows a stack-based buffer overflow in the hd_strlcpy() function in string.c (when called from render_contents in ps-pdf.cxx) via a crafted HTML document. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=7.8) Astra Linux 1.7 libbsd nlist.c in libbsd before 0.10.0 has an out-of-bounds read during a comparison for a symbol name from the string table (strtab). [NistCWE(cwe='CWE-125')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:N/A:P', score=6.4) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H', score=9.1) Astra Linux 1.7 exiv2 In Jp2Image::readMetadata() in jp2image.cpp in Exiv2 0.27.2, an input file can result in an infinite loop and hang, with high CPU consumption. Remote attackers could leverage this vulnerability to cause a denial of service via a crafted file. [NistCWE(cwe='CWE-835')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:C', score=7.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - Использовать ПО exiv2 только на низком или отдельно выделенном уровне целостности - При использовании ПО Exiv2 выполнять обработку файлов, полученных только из доверенных источников - Обеспечить возможность запуска По Exiv2 только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Включить режим замкнутой программной среды Astra Linux 1.7 netty HttpObjectDecoder.java in Netty before 4.1.44 allows an HTTP header that lacks a colon, which might be interpreted as a separate header with an incorrect syntax, or might be interpreted as an "invalid fold." [NistCWE(cwe='CWE-444')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:P/A:N', score=6.4) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N', score=9.1) Astra Linux 1.7 netty HttpObjectDecoder.java in Netty before 4.1.44 allows a Content-Length header to be accompanied by a second Content-Length header, or by a Transfer-Encoding header. [NistCWE(cwe='CWE-444')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:P/A:N', score=6.4) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N', score=9.1) Astra Linux 1.7 opensc OpenSC before 0.20.0 has a double free in coolkey_free_private_data because coolkey_add_object in libopensc/card-coolkey.c lacks a uniqueness check. [NistCWE(cwe='CWE-415')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:P/I:P/A:P', score=4.6) NistCVSS3(cvss='AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=6.8) - Использовать пакет opensc только при отсутствии альтернатив - Обеспечить возможность запуска opensc только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 aspell objstack in GNU Aspell 0.60.8 has a heap-based buffer overflow in acommon::ObjStack::dup_top (called from acommon::StringMap::add and acommon::Config::lookup_list). [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:P/I:P/A:P', score=4.6) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) Astra Linux 1.7 systemd It was discovered that a systemd service that uses DynamicUser property can create a SUID/SGID binary that would be allowed to run as the transient service UID/GID even after the service is terminated. A local attacker may use this flaw to access resources that will be owned by a potentially different service in the future, when the UID/GID will be recycled. [NistCWE(cwe='CWE-266'), NistCWE(cwe='CWE-269')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:P/I:P/A:P', score=4.6) NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:L', score=4.5) - Использовать ПО python-systemd только на низком или отдельно выделенном уровне целостности - При использовании ПО python-systemd выполнять обработку файлов, полученных только из доверенных источников - Обеспечить возможность запуска python-systemd только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.7 systemd It was discovered that a systemd service that uses DynamicUser property can get new privileges through the execution of SUID binaries, which would allow to create binaries owned by the service transient group with the setgid bit set. A local attacker may use this flaw to access resources that will be owned by a potentially different service in the future, when the GID will be recycled. [NistCWE(cwe='CWE-268')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:P/I:P/A:P', score=4.6) NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:L', score=4.5) - Использовать ПО python-systemd только на низком или отдельно выделенном уровне целостности - При использовании ПО python-systemd выполнять обработку файлов, полученных только из доверенных источников - Обеспечить возможность запуска python-systemd только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.7 opensc sc_context_create in ctx.c in libopensc in OpenSC 0.19.0 has a memory leak, as demonstrated by a call from eidenv. [NistCWE(cwe='CWE-401')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - Использовать пакет opensc только при отсутствии альтернатив - Обеспечить возможность запуска opensc только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 libseccomp libseccomp before 2.4.0 did not correctly generate 64-bit syscall argument comparisons using the arithmetic operators (LT, GT, LE, GE), which might able to lead to bypassing seccomp filters and potential privilege escalations. [] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:P/A:P', score=7.5) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) Astra Linux 1.7 linux In binder_release_work of binder.c, there is a possible use-after-free due to improper locking. This could lead to local escalation of privilege in the kernel with no additional execution privileges needed. User interaction is not needed for exploitation.Product: AndroidVersions: Android kernelAndroid ID: A-161151868References: N/A [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:C/I:C/A:C', score=7.2) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux Legacy pairing and secure-connections pairing authentication in Bluetooth BR/EDR Core Specification v5.2 and earlier may allow an unauthenticated user to complete authentication without pairing credentials via adjacent access. An unauthenticated, adjacent attacker could impersonate a Bluetooth BR/EDR master or slave to pair with a previously paired remote device to successfully complete the authentication procedure without knowing the link key. [NistCWE(cwe='CWE-757'), NistCWE(cwe='CWE-290')] NistCVSS2(cvss='AV:A/AC:L/Au:N/C:P/I:P/A:N', score=4.8) NistCVSS3(cvss='AV:A/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N', score=5.4) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 ansible A flaw was found in Ansible Engine, all versions 2.7.x, 2.8.x and 2.9.x prior to 2.7.17, 2.8.9 and 2.9.6 respectively, when using ansible_facts as a subkey of itself and promoting it to a variable when inject is enabled, overwriting the ansible_facts after the clean. An attacker could take advantage of this by altering the ansible_facts, such as ansible_hosts, users and any other key data which would lead into privilege escalation or code injection. [NistCWE(cwe='CWE-94'), NistCWE(cwe='CWE-862')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:N/I:P/A:P', score=3.6) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:H', score=7.9) - Обеспечить возможность запуска ansible только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Обеспечить применение ПО ansible только на выделенном уровне целостности Astra Linux 1.7 ansible A flaw was found in Ansible Engine affecting Ansible Engine versions 2.7.x before 2.7.17 and 2.8.x before 2.8.11 and 2.9.x before 2.9.7 as well as Ansible Tower before and including versions 3.4.5 and 3.5.5 and 3.6.3 when using modules which decrypts vault files such as assemble, script, unarchive, win_copy, aws_s3 or copy modules. The temporary directory is created in /tmp leaves the s ts unencrypted. On Operating Systems which /tmp is not a tmpfs but part of the root partition, the directory is only cleared on boot and the decryp emains when the host is switched off. The system will be vulnerable when the system is not running. So decrypted data must be cleared as soon as possible and the data which normally is encrypted ble. [NistCWE(cwe='CWE-459'), NistCWE(cwe='CWE-459')] NistCVSS2(cvss='AV:L/AC:M/Au:N/C:P/I:N/A:N', score=1.9) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N', score=5.0) - Обеспечить возможность запуска ansible только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Обеспечить применение ПО ansible только на выделенном уровне целостности Astra Linux 1.7 ansible A flaw was found in the use of insufficiently random values in Ansible. Two random password lookups of the same length generate the equal value as the template caching action for the same file since no re-evaluation happens. The highest threat from this vulnerability would be that all passwords are exposed at once for the file. This flaw affects Ansible Engine versions before 2.9.6. [NistCWE(cwe='CWE-330'), NistCWE(cwe='CWE-330')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:P/I:N/A:N', score=2.1) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N', score=5.5) - Обеспечить возможность запуска ansible только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Обеспечить применение ПО ansible только на выделенном уровне целостности Astra Linux 1.7 jquery In jQuery versions greater than or equal to 1.2 and before 3.5.0, passing HTML from untrusted sources - even after sanitizing it - to one of jQuery's DOM manipulation methods (i.e. .html(), .append(), and others) may execute untrusted code. This problem is patched in jQuery 3.5.0. [NistCWE(cwe='CWE-79'), NistCWE(cwe='CWE-79')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:L/A:N', score=6.9) - Удалить ПО jqueryui, если оно не используется и не является зависимостью других пакетов - Отказаться от использования библиотеки jqueryui - В случае использования библиотеки jqueryui избегать взаимодействия с неизвестными и подозрительными источниками - Запускать ПО, использующее библиотеку jqueryui, в изолированной программной среде с применением инструмента Firejail - Использовать ПО, использующее библиотеку jqueryui, только на низком или отдельно выделенном уровне целостности - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Включить режим замкнутой программной среды Astra Linux 1.7 jquery In jQuery versions greater than or equal to 1.0.3 and before 3.5.0, passing HTML containing <option> elements from untrusted sources - even after sanitizing it - to one of jQuery's DOM manipulation methods (i.e. .html(), .append(), and others) may execute untrusted code. This problem is patched in jQuery 3.5.0. [NistCWE(cwe='CWE-79'), NistCWE(cwe='CWE-79')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:L/A:N', score=6.9) - Удалить ПО jqueryui, если оно не используется и не является зависимостью других пакетов - Отказаться от использования библиотеки jqueryui - В случае использования библиотеки jqueryui избегать взаимодействия с неизвестными и подозрительными источниками - Запускать ПО, использующее библиотеку jqueryui, в изолированной программной среде с применением инструмента Firejail - Использовать ПО, использующее библиотеку jqueryui, только на низком или отдельно выделенном уровне целостности - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Включить режим замкнутой программной среды Astra Linux 1.7 bacula In Bareos Director less than or equal to 16.2.10, 17.2.9, 18.2.8, and 19.2.7, a heap overflow allows a malicious client to corrupt the director's memory via oversized digest strings sent during initialization of a verify job. Disabling verify jobs mitigates the problem. This issue is also patched in Bareos versions 19.2.8, 18.2.9 and 17.2.10. [NistCWE(cwe='CWE-122'), NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:S/C:P/I:P/A:P', score=6.0) NistCVSS3(cvss='AV:N/AC:H/PR:L/UI:N/S:C/C:L/I:L/A:L', score=6.0) Astra Linux 1.7 netty The ZlibDecoders in Netty 4.1.x before 4.1.46 allow for unbounded memory allocation while decoding a ZlibEncoded byte stream. An attacker could send a large ZlibEncoded byte stream to the Netty server, forcing the server to allocate all of its free memory to a single decoder. [NistCWE(cwe='CWE-770')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) Astra Linux 1.7 wireshark In Wireshark 3.2.0 to 3.2.2, 3.0.0 to 3.0.9, and 2.6.0 to 2.6.15, the BACapp dissector could crash. This was addressed in epan/dissectors/packet-bacapp.c by limiting the amount of recursion. [NistCWE(cwe='CWE-674')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) Astra Linux 1.7 openvpn An issue was discovered in OpenVPN 2.4.x before 2.4.9. An attacker can inject a data channel v2 (P_DATA_V2) packet using a victim's peer-id. Normally such packets are dropped, but if this packet arrives before the data channel crypto parameters have been initialized, the victim's connection will be dropped. This requires careful timing due to the small time window (usually within a few seconds) between the victim client connection starting and the server PUSH_REPLY response back to the client. This attack will only work if Negotiable Cipher Parameters (NCP) is in use. [NistCWE(cwe='CWE-362')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:N/A:P', score=4.3) NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L', score=3.7) - Исключить из автозапуска сетевой сервис (стандартная конфигурация ОС) - Обеспечить возможность запуска openvpn только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 ntp ntpd in ntp before 4.2.8p14 and 4.3.x before 4.3.100 allows an off-path attacker to block unauthenticated synchronization via a server mode packet with a spoofed source IP address, because transmissions are rescheduled even when a packet lacks a valid origin timestamp. [NistCWE(cwe='CWE-346'), NistCWE(cwe='CWE-346')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H', score=5.9) - Исключить из автозапуска сетевой сервис (стандартная конфигурация ОС) - Обеспечить возможность запуска ntp только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 xmlgraphics-commons Apache XmlGraphics Commons 2.4 and earlier is vulnerable to server-side request forgery, caused by improper input validation by the XMPParser. By using a specially-crafted argument, an attacker could exploit this vulnerability to cause the underlying server to make arbitrary GET requests. Users should upgrade to 2.6 or later. [NistCWE(cwe='CWE-20')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:P/A:N', score=6.4) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N', score=8.2) Astra Linux 1.7 linux-firmware Improper input validation in some Intel(R) Graphics Drivers for Windows* before version 26.20.100.7212 and before Linux kernel version 5.5 may allow a privileged user to potentially enable a denial of service via local access. [NistCWE(cwe='CWE-20')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:N/I:N/A:P', score=2.1) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux-firmware Null pointer reference in some Intel(R) Graphics Drivers for Windows* before version 26.20.100.7212 and before version Linux kernel version 5.5 may allow a privileged user to potentially enable a denial of service via local access. [NistCWE(cwe='CWE-476')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:N/I:N/A:P', score=2.1) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 nss NSS has shown timing differences when performing DSA signatures, which was exploitable and could eventually leak private keys. This vulnerability affects Thunderbird < 68.9.0, Firefox < 77, and Firefox ESR < 68.9. [NistCWE(cwe='CWE-203')] NistCVSS2(cvss='AV:L/AC:H/Au:N/C:P/I:N/A:N', score=1.2) NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:N/A:N', score=4.4) - Запускать ПО, использующее библиотеку NSS, только на низком или отдельно выделенном уровне целостности - При работе с ПО, которое задействует библиотеку NSS выполнять обработку файлов, полученных только из доверенных источников - Обеспечить возможность запуска ПО, использующего библиотеку NSS только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной сред Astra Linux 1.7 nss When converting coordinates from projective to affine, the modular inversion was not performed in constant time, resulting in a possible timing-based side channel attack. This vulnerability affects Firefox < 80 and Firefox for Android < 80. [NistCWE(cwe='CWE-203')] NistCVSS2(cvss='AV:L/AC:H/Au:N/C:P/I:N/A:N', score=1.2) NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N', score=4.7) - Запускать ПО, использующее библиотеку NSS, только на низком или отдельно выделенном уровне целостности - При работе с ПО, которое задействует библиотеку NSS выполнять обработку файлов, полученных только из доверенных источников - Обеспечить возможность запуска ПО, использующего библиотеку NSS только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной сред Astra Linux 1.7 nss During ECDSA signature generation, padding applied in the nonce designed to ensure constant-time scalar multiplication was removed, resulting in variable-time execution dependent on secret data. This vulnerability affects Firefox < 80 and Firefox for Android < 80. [NistCWE(cwe='CWE-203')] NistCVSS2(cvss='AV:L/AC:M/Au:N/C:P/I:N/A:N', score=1.9) NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N', score=4.7) - Запускать ПО, использующее библиотеку NSS, только на низком или отдельно выделенном уровне целостности - При работе с ПО, которое задействует библиотеку NSS выполнять обработку файлов, полученных только из доверенных источников - Обеспечить возможность запуска ПО, использующего библиотеку NSS только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной сред Astra Linux 1.7 nss During RSA key generation, bignum implementations used a variation of the Binary Extended Euclidean Algorithm which entailed significantly input-dependent flow. This allowed an attacker able to perform electromagnetic-based side channel attacks to record traces leading to the recovery of the secret primes. *Note:* An unmodified Firefox browser does not generate RSA keys in normal operation and is not affected, but products built on top of it might. This vulnerability affects Firefox < 78. [NistCWE(cwe='CWE-203')] NistCVSS2(cvss='AV:L/AC:H/Au:N/C:P/I:N/A:N', score=1.2) NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:N/A:N', score=4.4) - Запускать ПО, использующее библиотеку NSS, только на низком или отдельно выделенном уровне целостности - При работе с ПО, которое задействует библиотеку NSS выполнять обработку файлов, полученных только из доверенных источников - Обеспечить возможность запуска ПО, использующего библиотеку NSS только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной сред Astra Linux 1.7 nss A flaw was found in the way CHACHA20-POLY1305 was implemented in NSS in versions before 3.55. When using multi-part Chacha20, it could cause out-of-bounds reads. This issue was fixed by explicitly disabling multi-part ChaCha20 (which was not functioning correctly) and strictly enforcing tag length. The highest threat from this vulnerability is to confidentiality and system availability. [NistCWE(cwe='CWE-125'), NistCWE(cwe='CWE-125')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:N/A:P', score=6.4) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H', score=9.1) - Запускать ПО, использующее библиотеку NSS, только на низком или отдельно выделенном уровне целостности - При работе с ПО, которое задействует библиотеку NSS выполнять обработку файлов, полученных только из доверенных источников - Обеспечить возможность запуска ПО, использующего библиотеку NSS только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной сред Astra Linux 1.7 wpa, pupnp-1.8 The Open Connectivity Foundation UPnP specification before 2020-04-17 does not forbid the acceptance of a subscription request with a delivery URL on a different network segment than the fully qualified event-subscription URL, aka the CallStranger issue. [NistCWE(cwe='CWE-276')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:N/A:C', score=7.8) NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:N/S:C/C:L/I:N/A:H', score=7.5) Astra Linux 1.7 exim4 Exim through 4.93 has an out-of-bounds read in the SPA authenticator that could result in SPA/NTLM authentication bypass in auths/spa.c and auths/auth-spa.c. [NistCWE(cwe='CWE-125')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:N/A:N', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N', score=7.5) - Исключить из автозапуска сетевой сервис (стандартная конфигурация ОС) - Обеспечить возможность запуска exim4 только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 sane-backends A heap buffer overflow in SANE Backends before 1.0.30 allows a malicious device connected to the same local network as the victim to execute arbitrary code, aka GHSL-2020-080. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:A/AC:M/Au:N/C:C/I:C/A:C', score=7.9) NistCVSS3(cvss='AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=8.8) Astra Linux 1.7 sane-backends An out-of-bounds read in SANE Backends before 1.0.30 may allow a malicious device connected to the same local network as the victim to read important information, such as the ASLR offsets of the program, aka GHSL-2020-082. [NistCWE(cwe='CWE-125')] NistCVSS2(cvss='AV:A/AC:L/Au:N/C:P/I:N/A:N', score=3.3) NistCVSS3(cvss='AV:A/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N', score=4.3) Astra Linux 1.7 sane-backends An out-of-bounds read in SANE Backends before 1.0.30 may allow a malicious device connected to the same local network as the victim to read important information, such as the ASLR offsets of the program, aka GHSL-2020-083. [NistCWE(cwe='CWE-125')] NistCVSS2(cvss='AV:A/AC:L/Au:N/C:P/I:N/A:N', score=3.3) NistCVSS3(cvss='AV:A/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N', score=4.3) Astra Linux 1.7 sane-backends An out-of-bounds read in SANE Backends before 1.0.30 may allow a malicious device connected to the same local network as the victim to read important information, such as the ASLR offsets of the program, aka GHSL-2020-081. [NistCWE(cwe='CWE-125')] NistCVSS2(cvss='AV:A/AC:L/Au:N/C:P/I:N/A:N', score=3.3) NistCVSS3(cvss='AV:A/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N', score=4.3) Astra Linux 1.7 sane-backends A heap buffer overflow in SANE Backends before 1.0.30 may allow a malicious device connected to the same local network as the victim to execute arbitrary code, aka GHSL-2020-084. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:A/AC:L/Au:S/C:P/I:P/A:P', score=5.2) NistCVSS3(cvss='AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=8.0) Astra Linux 1.7 sane-backends A NULL pointer dereference in SANE Backends before 1.0.30 allows a malicious device connected to the same local network as the victim to cause a denial of service, GHSL-2020-079. [NistCWE(cwe='CWE-476')] NistCVSS2(cvss='AV:A/AC:L/Au:S/C:N/I:N/A:P', score=2.7) NistCVSS3(cvss='AV:A/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.7) Astra Linux 1.7 sane-backends A NULL pointer dereference in sanei_epson_net_read in SANE Backends before 1.0.30 allows a malicious device connected to the same local network as the victim to cause a denial of service, aka GHSL-2020-075. [NistCWE(cwe='CWE-476')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:N/I:N/A:P', score=2.1) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) Astra Linux 1.7 wireshark In Wireshark 3.2.0 to 3.2.3, 3.0.0 to 3.0.10, and 2.6.0 to 2.6.16, the NFS dissector could crash. This was addressed in epan/dissectors/packet-nfs.c by preventing excessive recursion, such as for a cycle in the directory graph on a filesystem. [NistCWE(cwe='CWE-674')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) Astra Linux 1.7 webkit2gtk A code execution vulnerability exists in the AudioSourceProviderGStreamer functionality of Webkit WebKitGTK 2.30.1. A specially crafted web page can lead to a use after free. [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО webkit2gtk, если оно не используется и не является зависимостью других используемых пакетов 2. Запускать приложения, использующие ПО webkit2gtk, в изолированной программной среде с применением инструмента Firejail 3. Выполнить безопасную настройку webkit2gtk: - При использовании ПО webkit2gtk производить обработку веб-контента только из доверенных источников - Включить и настроить межсетевой экран ufw для фильтрации трафика - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Отключить и удалить неиспользуемые учётные записи пользователей - Включить мандатный контроль целостности (МКЦ) - Включить режим замкнутой программной среды - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 ntp ntpd in ntp before 4.2.8p14 and 4.3.x before 4.3.100 allows remote attackers to cause a denial of service (daemon exit or system time change) by predicting transmit timestamps for use in spoofed packets. The victim must be relying on unauthenticated IPv4 time sources. There must be an off-path attacker who can query time from the victim's ntpd instance. [NistCWE(cwe='CWE-330'), NistCWE(cwe='CWE-330')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:P', score=5.8) NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H', score=5.9) - Исключить из автозапуска сетевой сервис (стандартная конфигурация ОС) - Обеспечить возможность запуска ntp только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 velocity An attacker that is able to modify Velocity templates may execute arbitrary Java code or run arbitrary system commands with the same privileges as the account running the Servlet container. This applies to applications that allow untrusted users to upload/modify velocity templates running Apache Velocity Engine versions up to 2.2. [] NistCVSS2(cvss='AV:N/AC:L/Au:S/C:C/I:C/A:C', score=9.0) NistCVSS3(cvss='AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=8.8) Astra Linux 1.7 apache2 Apache HTTP Server versions 2.4.41 to 2.4.46 mod_proxy_http can be made to crash (NULL pointer dereference) with specially crafted requests using both Content-Length and Transfer-Encoding headers, leading to a Denial of Service [NistCWE(cwe='CWE-476')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - Обеспечить возможность использования библиотеки libapache2-mod-nss только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 ansible An Improper Output Neutralization for Logs flaw was found in Ansible when using the uri module, where sensitive data is exposed to content and json output. This flaw allows an attacker to access the logs or outputs of performed tasks to read keys used in playbooks from other users within the uri module. The highest threat from this vulnerability is to data confidentiality. [NistCWE(cwe='CWE-532'), NistCWE(cwe='CWE-532')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:P/I:N/A:N', score=2.1) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N', score=5.0) - Обеспечить возможность запуска ansible только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Обеспечить применение ПО ansible только на выделенном уровне целостности Astra Linux 1.7 ansible A flaw was found in the Ansible Engine when using module_args. Tasks executed with check mode (--check-mode) do not properly neutralize sensitive data exposed in the event data. This flaw allows unauthorized users to read this data. The highest threat from this vulnerability is to confidentiality. [NistCWE(cwe='CWE-117'), NistCWE(cwe='CWE-532')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:P/I:N/A:N', score=2.1) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N', score=5.5) - Обеспечить возможность запуска ansible только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Обеспечить применение ПО ansible только на выделенном уровне целостности Astra Linux 1.7 linux A flaw was found in the Linux kernel. A use-after-free memory flaw was found in the perf subsystem allowing a local attacker with permission to monitor perf events to corrupt memory and possibly escalate privileges. The highest threat from this vulnerability is to data confidentiality and integrity as well as system availability. [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:P/I:P/A:P', score=4.6) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 ansible A flaw was found in the Ansible Engine, in ansible-engine 2.8.x before 2.8.15 and ansible-engine 2.9.x before 2.9.13, when installing packages using the dnf module. GPG signatures are ignored during installation even when disable_gpg_check is set to False, which is the default behavior. This flaw leads to malicious packages being installed on the system and arbitrary code executed via package installation scripts. The highest threat from this vulnerability is to integrity and system availability. [NistCWE(cwe='CWE-347'), NistCWE(cwe='CWE-347')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:N/I:C/A:C', score=6.6) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H', score=7.1) - Обеспечить возможность запуска ansible только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Обеспечить применение ПО ansible только на выделенном уровне целостности Astra Linux 1.7 grub2 A flaw was found in grub2 in versions prior to 2.06, where it incorrectly enables the usage of the ACPI command when Secure Boot is enabled. This flaw allows an attacker with privileged access to craft a Secondary System Description Table (SSDT) containing code to overwrite the Linux kernel lockdown variable content directly into memory. The table is further loaded and executed by the kernel, defeating its Secure Boot lockdown and allowing the attacker to load unsigned code. The highest threat from this vulnerability is to data confidentiality and integrity, as well as system availability. [NistCWE(cwe='CWE-184')] NistCVSS2(cvss='AV:L/AC:H/Au:N/C:C/I:C/A:C', score=6.2) NistCVSS3(cvss='AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H', score=7.5) - Установить "взломостойкий" пароль на загрузчик Grub - Обеспечить возможность запуска grub2 только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 linux A flaw was found in the Linux kernel in versions before 5.9-rc6. When changing screen size, an out-of-bounds memory write can occur leading to memory corruption or a denial of service. Due to the nature of the flaw, privilege escalation cannot be fully ruled out. [NistCWE(cwe='CWE-787'), NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:P/I:P/A:P', score=4.6) NistCVSS3(cvss='AV:L/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:H', score=5.6) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 ntp ntpd in ntp 4.2.8 before 4.2.8p15 and 4.3.x before 4.3.101 allows remote attackers to cause a denial of service (memory consumption) by sending packets, because memory is not freed in situations where a CMAC key is used and associated with a CMAC algorithm in the ntp.keys file. [NistCWE(cwe='CWE-401')] NistCVSS2(cvss='AV:N/AC:L/Au:S/C:N/I:N/A:P', score=4.0) NistCVSS3(cvss='AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:N/A:H', score=4.4) - Исключить из автозапуска сетевой сервис (стандартная конфигурация ОС) - Обеспечить возможность запуска ntp только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 openvpn OpenVPN 2.5.1 and earlier versions allows a remote attackers to bypass authentication and access control channel data on servers configured with deferred authentication, which can be used to potentially trigger further information leaks. [NistCWE(cwe='CWE-305'), NistCWE(cwe='CWE-306')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:N/A:N', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N', score=7.5) - Исключить из автозапуска сетевой сервис (стандартная конфигурация ОС) - Обеспечить возможность запуска openvpn только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 openjpeg2 jp2/opj_decompress.c in OpenJPEG through 2.3.1 has a use-after-free that can be triggered if there is a mix of valid and invalid files in a directory operated on by the decompressor. Triggering a double-free may also be possible. This is related to calling opj_image_destroy twice. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:N/A:P', score=5.8) NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:H', score=6.5) - Используйте openjpeg2 с минимально необходимыми привилегиями - Активировать режим замкнутой программной среды - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Включить режим замкнутой программной среды - При использовании ПО openjpeg2 выполнять обработку файлов, полученных только из доверенных источников Astra Linux 1.7 wireshark In Wireshark 3.2.0 to 3.2.4, the GVCP dissector could go into an infinite loop. This was addressed in epan/dissectors/packet-gvcp.c by ensuring that an offset increases in all situations. [NistCWE(cwe='CWE-835')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) Astra Linux 1.7 thunderbird During the plaintext phase of the STARTTLS connection setup, protocol commands could have been injected and evaluated within the encrypted session. This vulnerability affects Thunderbird < 78.7. [NistCWE(cwe='CWE-77'), NistCWE(cwe='CWE-77')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Thunderbird, если оно не используется 2. Отказаться от использования ПО Thunderbird в пользу ПО Evolution 3. Обеспечить запуск ПО Thunderbird в изолированной программной среде с применением инструмента Firejail Astra Linux 1.7 chromium Use after free in clipboard in Google Chrome prior to 87.0.4280.88 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:C/I:C/A:C', score=9.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in media in Google Chrome on OS X prior to 87.0.4280.88 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:C/I:C/A:C', score=9.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in extensions in Google Chrome prior to 87.0.4280.88 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:C/I:C/A:C', score=9.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Insufficient data validation in V8 in Google Chrome prior to 87.0.4280.88 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-20')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:N/A:P', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H', score=6.5) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Out of bounds read in networking in Google Chrome prior to 87.0.4280.88 allowed a remote attacker who had compromised the renderer process to obtain potentially sensitive information from process memory via a crafted HTML page. [NistCWE(cwe='CWE-125')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:N/A:P', score=5.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:H', score=8.1) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Uninitialized Use in V8 in Google Chrome prior to 87.0.4280.88 allowed a remote attacker to obtain potentially sensitive information from process memory via a crafted HTML page. [NistCWE(cwe='CWE-908')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:N/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N', score=6.5) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Insufficient data validation in networking in Google Chrome prior to 87.0.4280.141 allowed a remote attacker to bypass discretionary access control via malicious network traffic. [] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 freeipa A flaw was found in all ipa versions 4.x.x through 4.8.0. When sending a very long password (>= 1,000,000 characters) to the server, the password hashing process could exhaust memory and CPU leading to a denial of service and the website becoming unresponsive. The highest threat from this vulnerability is to system availability. [NistCWE(cwe='CWE-400'), NistCWE(cwe='CWE-400')] NistCVSS2(cvss='AV:N/AC:H/Au:N/C:N/I:N/A:C', score=5.4) NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:N/A:H', score=5.3) - Настройте правила брандмауэра для разрешения только необходимых портов - Разрешите доступ только с доверенных IP-адресов - Настройте FreeIPA для использования SSL/TLS для шифрования всех сетевых коммуникаций - Используйте доверенные сертификаты - Предоставляйте пользователям только те права, которые им необходимы для выполнения их задач - Настройте ограничения на количество попыток входа и используйте CAPTCHA - Настройте правила HBAC для управления доступом к хостам на основе ролей и групп пользователей - Запускать ПО freeipa в изолированной программной среде - Включить режим замкнутой программной среды - Включить мандатный контроль целостности (МКЦ) - Включить межсетевой экран ufw - Отключить и удалить неиспользуемые учётные записи пользователей Astra Linux 1.7 ansible A race condition flaw was found in Ansible Engine 2.7.17 and prior, 2.8.9 and prior, 2.9.6 and prior when running a playbook with an unprivileged become user. When Ansible needs to run a module with become user, the temporary directory is created in /var/tmp. This directory is created with "umask 77 && mkdir -p <dir>"; this operation does not fail if the directory already exists and is owned by another user. An attacker could take advantage to gain control of the become user as the target directory can be retrieved by iterating '/proc/<pid>/cmdline'. [NistCWE(cwe='CWE-377'), NistCWE(cwe='CWE-362')] NistCVSS2(cvss='AV:L/AC:H/Au:N/C:P/I:P/A:P', score=3.7) NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:R/S:C/C:L/I:L/A:L', score=5.0) - Обеспечить возможность запуска ansible только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Обеспечить применение ПО ansible только на выделенном уровне целостности Astra Linux 1.7 ansible A flaw was found in the Ansible Engine when the fetch module is used. An attacker could intercept the module, inject a new path, and then choose a new destination path on the controller node. All versions in 2.7.x, 2.8.x and 2.9.x branches are believed to be vulnerable. [NistCWE(cwe='CWE-22'), NistCWE(cwe='CWE-22')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:P/I:P/A:N', score=3.6) NistCVSS3(cvss='AV:L/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N', score=4.2) - Обеспечить возможность запуска ansible только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Обеспечить применение ПО ansible только на выделенном уровне целостности Astra Linux 1.7 ansible A flaw was found in Ansible 2.7.16 and prior, 2.8.8 and prior, and 2.9.5 and prior when a password is set with the argument "password" of svn module, it is used on svn command line, disclosing to other users within the same node. An attacker could take advantage by reading the cmdline file from that particular PID on the procfs. [NistCWE(cwe='CWE-200'), NistCWE(cwe='CWE-200')] NistCVSS2(cvss='AV:L/AC:M/Au:N/C:P/I:P/A:N', score=3.3) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N', score=3.9) - Обеспечить возможность запуска ansible только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Обеспечить применение ПО ansible только на выделенном уровне целостности Astra Linux 1.7 ansible A flaw was found in Ansible Engine when using Ansible Vault for editing encrypted files. When a user executes "ansible-vault edit", another user on the same computer can read the old and new secret, as it is created in a temporary file with mkstemp and the returned file descriptor is closed and the method write_data is called to write the existing secret in the file. This method will delete the file before recreating it insecurely. All versions in 2.7.x, 2.8.x and 2.9.x branches are believed to be vulnerable. [NistCWE(cwe='CWE-377'), NistCWE(cwe='CWE-200')] NistCVSS2(cvss='AV:L/AC:M/Au:N/C:P/I:N/A:N', score=1.9) NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:R/S:C/C:L/I:L/A:N', score=3.9) - Обеспечить возможность запуска ansible только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Обеспечить применение ПО ansible только на выделенном уровне целостности Astra Linux 1.7 ansible A flaw was found in the Ansible Engine affecting Ansible Engine versions 2.7.x before 2.7.17 and 2.8.x before 2.8.11 and 2.9.x before 2.9.7 as well as Ansible Tower before and including versions 3.4.5 and 3.5.5 and 3.6.3 when the ldap_attr and ldap_entry community modules are used. The issue discloses the LDAP bind password to stdout or a log file if a playbook task is written using the bind_pw in the parameters field. The highest threat from this vulnerability is data confidentiality. [NistCWE(cwe='CWE-200'), NistCWE(cwe='CWE-200')] NistCVSS2(cvss='AV:L/AC:M/Au:N/C:P/I:N/A:N', score=1.9) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N', score=5.0) - Обеспечить возможность запуска ansible только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Обеспечить применение ПО ansible только на выделенном уровне целостности Astra Linux 1.7 qt4-x11 An issue was discovered in Qt through 5.12.9, and 5.13.x through 5.15.x before 5.15.1. read_xbm_body in gui/image/qxbmhandler.cpp has a buffer over-read. [NistCWE(cwe='CWE-125')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L', score=5.3) - При использовании ПО qt4-x11 производить обработку веб-контента только из доверенных источников - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Отключить и удалить неиспользуемые учётные записи пользователей - Включить мандатный контроль целостности (МКЦ) - Включить режим замкнутой программной среды Astra Linux 1.7 subversion Subversion's mod_authz_svn module will crash if the server is using in-repository authz rules with the AuthzSVNReposRelativeAccessFile option and a client sends a request for a non-existing repository URL. This can lead to disruption for users of the service. This issue was fixed in mod_dav_svn+mod_authz_svn servers 1.14.1 and mod_dav_svn+mod_authz_svn servers 1.10.7 [NistCWE(cwe='CWE-476'), NistCWE(cwe='CWE-476')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:N/A:P', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) Astra Linux 1.7 ansible A security flaw was found in Ansible Engine, all Ansible 2.7.x versions prior to 2.7.17, all Ansible 2.8.x versions prior to 2.8.11 and all Ansible 2.9.x versions prior to 2.9.7, when managing kubernetes using the k8s module. Sensitive parameters such as passwords and tokens are passed to kubectl from the command line, not using an environment variable or an input configuration file. This will disclose passwords and tokens from process list and no_log directive from debug module would not have any effect making these secrets being disclosed on stdout and log files. [NistCWE(cwe='CWE-200'), NistCWE(cwe='CWE-532')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:P/I:N/A:N', score=2.1) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N', score=5.0) - Обеспечить возможность запуска ansible только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Обеспечить применение ПО ansible только на выделенном уровне целостности Astra Linux 1.7 graphviz Buffer Overflow in Graphviz Graph Visualization Tools from commit ID f8b9e035 and earlier allows remote attackers to execute arbitrary code or cause a denial of service (application crash) by loading a crafted file into the "lib/common/shapes.c" component. [NistCWE(cwe='CWE-120')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=7.8) Astra Linux 1.7 ffmpeg FFmpeg 4.2 is affected by a Divide By Zero issue via libavcodec/lpc.h, which allows a remote malicious user to cause a Denial of Service. [NistCWE(cwe='CWE-369')] NistCVSS2(cvss='AV:N/AC:L/Au:S/C:N/I:N/A:P', score=4.0) NistCVSS3(cvss='AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=6.5) 1. Удалить ПО ffmpeg5, если оно не используется и не является зависимостью других пакетов 2. Отказаться от использования ПО ffmpeg5 в пользу ПО gstreamer 3. Соблюдайте следующие требования: - Использовать ПО ffmpeg5 только на низком или отдельно выделенном уровне целостности - При использовании ПО ffmpeg5 выполнять обработку файлов, полученных только из доверенных источников - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.7 ffmpeg FFmpeg 4.2 is affected by a Divide By Zero issue via libavcodec/aacpsy.c, which allows a remote malicious user to cause a Denial of Service. [NistCWE(cwe='CWE-369')] NistCVSS2(cvss='AV:N/AC:L/Au:S/C:N/I:N/A:P', score=4.0) NistCVSS3(cvss='AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=6.5) 1. Удалить ПО ffmpeg5, если оно не используется и не является зависимостью других пакетов 2. Отказаться от использования ПО ffmpeg5 в пользу ПО gstreamer 3. Соблюдайте следующие требования: - Использовать ПО ffmpeg5 только на низком или отдельно выделенном уровне целостности - При использовании ПО ffmpeg5 выполнять обработку файлов, полученных только из доверенных источников - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.7 ffmpeg FFmpeg 4.2 is affected by a Divide By Zero issue via libavcodec/aaccoder, which allows a remote malicious user to cause a Denial of Service [NistCWE(cwe='CWE-369')] NistCVSS2(cvss='AV:N/AC:L/Au:S/C:N/I:N/A:P', score=4.0) NistCVSS3(cvss='AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=6.5) 1. Удалить ПО ffmpeg5, если оно не используется и не является зависимостью других пакетов 2. Отказаться от использования ПО ffmpeg5 в пользу ПО gstreamer 3. Соблюдайте следующие требования: - Использовать ПО ffmpeg5 только на низком или отдельно выделенном уровне целостности - При использовании ПО ffmpeg5 выполнять обработку файлов, полученных только из доверенных источников - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.7 ffmpeg Buffer Overflow vulnerability exists in FFmpeg 4.1 via apng_do_inverse_blend in libavcodec/pngenc.c, which could let a remote malicious user cause a Denial of Service [NistCWE(cwe='CWE-120')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) 1. Удалить ПО ffmpeg5, если оно не используется и не является зависимостью других пакетов 2. Отказаться от использования ПО ffmpeg5 в пользу ПО gstreamer 3. Соблюдайте следующие требования: - Использовать ПО ffmpeg5 только на низком или отдельно выделенном уровне целостности - При использовании ПО ffmpeg5 выполнять обработку файлов, полученных только из доверенных источников - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.7 ffmpeg Buffer Overflow vulnerability in FFmpeg 4.2 in mov_write_video_tag due to the out of bounds in libavformat/movenc.c, which could let a remote malicious user obtain sensitive information, cause a Denial of Service, or execute arbitrary code. [NistCWE(cwe='CWE-120')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО ffmpeg5, если оно не используется и не является зависимостью других пакетов 2. Отказаться от использования ПО ffmpeg5 в пользу ПО gstreamer 3. Соблюдайте следующие требования: - Использовать ПО ffmpeg5 только на низком или отдельно выделенном уровне целостности - При использовании ПО ffmpeg5 выполнять обработку файлов, полученных только из доверенных источников - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.7 ffmpeg A heap-based Buffer Overflow vulnerability in FFmpeg 4.2 at libavcodec/get_bits.h when writing .mov files, which might lead to memory corruption and other potential consequences. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО ffmpeg5, если оно не используется и не является зависимостью других пакетов 2. Отказаться от использования ПО ffmpeg5 в пользу ПО gstreamer 3. Соблюдайте следующие требования: - Использовать ПО ffmpeg5 только на низком или отдельно выделенном уровне целостности - При использовании ПО ffmpeg5 выполнять обработку файлов, полученных только из доверенных источников - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.7 ffmpeg A heap-based Buffer Overflow vulnerability exists in FFmpeg 4.2 at ff_fill_rectangle in libavfilter/drawutils.c, which might lead to memory corruption and other potential consequences. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО ffmpeg5, если оно не используется и не является зависимостью других пакетов 2. Отказаться от использования ПО ffmpeg5 в пользу ПО gstreamer 3. Соблюдайте следующие требования: - Использовать ПО ffmpeg5 только на низком или отдельно выделенном уровне целостности - При использовании ПО ffmpeg5 выполнять обработку файлов, полученных только из доверенных источников - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.7 ffmpeg Buffer Overflow vulnerability in FFmpeg 4.2 at convolution_y_10bit in libavfilter/vf_vmafmotion.c, which could let a remote malicious user cause a Denial of Service. [NistCWE(cwe='CWE-120')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:N/A:P', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H', score=6.5) 1. Удалить ПО ffmpeg5, если оно не используется и не является зависимостью других пакетов 2. Отказаться от использования ПО ffmpeg5 в пользу ПО gstreamer 3. Соблюдайте следующие требования: - Использовать ПО ffmpeg5 только на низком или отдельно выделенном уровне целостности - При использовании ПО ffmpeg5 выполнять обработку файлов, полученных только из доверенных источников - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.7 ffmpeg Buffer Overflow vulnerability in FFmpeg 4.2 in the build_diff_map function in libavfilter/vf_fieldmatch.c, which could let a remote malicious user cause a Denial of Service. [NistCWE(cwe='CWE-120')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:N/A:P', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H', score=6.5) 1. Удалить ПО ffmpeg5, если оно не используется и не является зависимостью других пакетов 2. Отказаться от использования ПО ffmpeg5 в пользу ПО gstreamer 3. Соблюдайте следующие требования: - Использовать ПО ffmpeg5 только на низком или отдельно выделенном уровне целостности - При использовании ПО ffmpeg5 выполнять обработку файлов, полученных только из доверенных источников - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.7 ffmpeg Buffer Overflow vulnerability in FFmpeg 4.2 at filter_edges function in libavfilter/vf_yadif.c, which could let a remote malicious user cause a Denial of Service. [NistCWE(cwe='CWE-120')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:N/A:P', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H', score=6.5) 1. Удалить ПО ffmpeg5, если оно не используется и не является зависимостью других пакетов 2. Отказаться от использования ПО ffmpeg5 в пользу ПО gstreamer 3. Соблюдайте следующие требования: - Использовать ПО ffmpeg5 только на низком или отдельно выделенном уровне целостности - При использовании ПО ffmpeg5 выполнять обработку файлов, полученных только из доверенных источников - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.7 ffmpeg A heap-based Buffer Overflow vulnerability exists in FFmpeg 4.2 in filter_frame at libavfilter/vf_fieldorder.c, which might lead to memory corruption and other potential consequences. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО ffmpeg5, если оно не используется и не является зависимостью других пакетов 2. Отказаться от использования ПО ffmpeg5 в пользу ПО gstreamer 3. Соблюдайте следующие требования: - Использовать ПО ffmpeg5 только на низком или отдельно выделенном уровне целостности - При использовании ПО ffmpeg5 выполнять обработку файлов, полученных только из доверенных источников - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.7 ffmpeg A heap-based Buffer Overflow vulnerabililty exists in FFmpeg 4.2 in filter_frame at libavfilter/vf_bitplanenoise.c, which might lead to memory corruption and other potential consequences. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО ffmpeg5, если оно не используется и не является зависимостью других пакетов 2. Отказаться от использования ПО ffmpeg5 в пользу ПО gstreamer 3. Соблюдайте следующие требования: - Использовать ПО ffmpeg5 только на низком или отдельно выделенном уровне целостности - При использовании ПО ffmpeg5 выполнять обработку файлов, полученных только из доверенных источников - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.7 ffmpeg A heap-based Buffer Overflow vulnerability exists in gaussian_blur at libavfilter/vf_edgedetect.c, which might lead to memory corruption and other potential consequences. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО ffmpeg5, если оно не используется и не является зависимостью других пакетов 2. Отказаться от использования ПО ffmpeg5 в пользу ПО gstreamer 3. Соблюдайте следующие требования: - Использовать ПО ffmpeg5 только на низком или отдельно выделенном уровне целостности - При использовании ПО ffmpeg5 выполнять обработку файлов, полученных только из доверенных источников - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.7 ffmpeg Buffer Overflow vulnerability exists in FFmpeg 4.2 in the config_input function at libavfilter/af_tremolo.c, which could let a remote malicious user cause a Denial of Service. [NistCWE(cwe='CWE-120')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:N/A:P', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H', score=6.5) 1. Удалить ПО ffmpeg5, если оно не используется и не является зависимостью других пакетов 2. Отказаться от использования ПО ffmpeg5 в пользу ПО gstreamer 3. Соблюдайте следующие требования: - Использовать ПО ffmpeg5 только на низком или отдельно выделенном уровне целостности - При использовании ПО ffmpeg5 выполнять обработку файлов, полученных только из доверенных источников - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.7 ffmpeg A heap-based Buffer Overflow vulnerability exits in FFmpeg 4.2 in deflate16 at libavfilter/vf_neighbor.c, which might lead to memory corruption and other potential consequences. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО ffmpeg5, если оно не используется и не является зависимостью других пакетов 2. Отказаться от использования ПО ffmpeg5 в пользу ПО gstreamer 3. Соблюдайте следующие требования: - Использовать ПО ffmpeg5 только на низком или отдельно выделенном уровне целостности - При использовании ПО ffmpeg5 выполнять обработку файлов, полученных только из доверенных источников - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.7 ffmpeg Buffer Overflow vulnerability exists in FFmpeg 4.2 in filter_vertically_8 at libavfilter/vf_avgblur.c, which could cause a remote Denial of Service. [NistCWE(cwe='CWE-120')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:N/A:P', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H', score=6.5) 1. Удалить ПО ffmpeg5, если оно не используется и не является зависимостью других пакетов 2. Отказаться от использования ПО ffmpeg5 в пользу ПО gstreamer 3. Соблюдайте следующие требования: - Использовать ПО ffmpeg5 только на низком или отдельно выделенном уровне целостности - При использовании ПО ffmpeg5 выполнять обработку файлов, полученных только из доверенных источников - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.7 ffmpeg A heap-based Buffer Overflow vulnerability exists in FFmpeg 4.2 at libavfilter/vf_colorconstancy.c: in slice_get_derivative, which crossfade_samples_fltp, which might lead to memory corruption and other potential consequences. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО ffmpeg5, если оно не используется и не является зависимостью других пакетов 2. Отказаться от использования ПО ffmpeg5 в пользу ПО gstreamer 3. Соблюдайте следующие требования: - Использовать ПО ffmpeg5 только на низком или отдельно выделенном уровне целостности - При использовании ПО ffmpeg5 выполнять обработку файлов, полученных только из доверенных источников - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.7 ffmpeg A heap-based Buffer Overflow vulnerability exists in FFmpeg 4.2 at libavfilter/af_afade.c in crossfade_samples_fltp, which might lead to memory corruption and other potential consequences. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО ffmpeg5, если оно не используется и не является зависимостью других пакетов 2. Отказаться от использования ПО ffmpeg5 в пользу ПО gstreamer 3. Соблюдайте следующие требования: - Использовать ПО ffmpeg5 только на низком или отдельно выделенном уровне целостности - При использовании ПО ffmpeg5 выполнять обработку файлов, полученных только из доверенных источников - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.7 ffmpeg A Heap-based Buffer Overflow vulnerability exists in FFmpeg 4.2 at libavfilter/vf_w3fdif.c in filter16_complex_low, which might lead to memory corruption and other potential consequences. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО ffmpeg5, если оно не используется и не является зависимостью других пакетов 2. Отказаться от использования ПО ffmpeg5 в пользу ПО gstreamer 3. Соблюдайте следующие требования: - Использовать ПО ffmpeg5 только на низком или отдельно выделенном уровне целостности - При использовании ПО ffmpeg5 выполнять обработку файлов, полученных только из доверенных источников - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.7 ffmpeg A heap-based Buffer Overflow vulnerability exists FFmpeg 4.2 at libavfilter/vf_edgedetect.c in gaussian_blur, which might lead to memory corruption and other potential consequences. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО ffmpeg5, если оно не используется и не является зависимостью других пакетов 2. Отказаться от использования ПО ffmpeg5 в пользу ПО gstreamer 3. Соблюдайте следующие требования: - Использовать ПО ffmpeg5 только на низком или отдельно выделенном уровне целостности - При использовании ПО ffmpeg5 выполнять обработку файлов, полученных только из доверенных источников - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.7 ffmpeg A heap-based Buffer Overflow Vulnerability exists FFmpeg 4.2 at libavfilter/vf_vmafmotion.c in convolution_y_8bit, which could let a remote malicious user cause a Denial of Service. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:N/A:P', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H', score=6.5) 1. Удалить ПО ffmpeg5, если оно не используется и не является зависимостью других пакетов 2. Отказаться от использования ПО ffmpeg5 в пользу ПО gstreamer 3. Соблюдайте следующие требования: - Использовать ПО ffmpeg5 только на низком или отдельно выделенном уровне целостности - При использовании ПО ffmpeg5 выполнять обработку файлов, полученных только из доверенных источников - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.7 ffmpeg A heap-based Buffer Overflow vulnerability exists FFmpeg 4.2 at libavfilter/vf_floodfill.c, which might lead to memory corruption and other potential consequences. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО ffmpeg5, если оно не используется и не является зависимостью других пакетов 2. Отказаться от использования ПО ffmpeg5 в пользу ПО gstreamer 3. Соблюдайте следующие требования: - Использовать ПО ffmpeg5 только на низком или отдельно выделенном уровне целостности - При использовании ПО ffmpeg5 выполнять обработку файлов, полученных только из доверенных источников - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.7 ffmpeg A heap-based Buffer Overflow vulnerability exists in FFmpeg 4.2 in get_block_row at libavfilter/vf_bm3d.c, which might lead to memory corruption and other potential consequences. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО ffmpeg5, если оно не используется и не является зависимостью других пакетов 2. Отказаться от использования ПО ffmpeg5 в пользу ПО gstreamer 3. Соблюдайте следующие требования: - Использовать ПО ffmpeg5 только на низком или отдельно выделенном уровне целостности - При использовании ПО ffmpeg5 выполнять обработку файлов, полученных только из доверенных источников - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.7 ffmpeg A heap-based Buffer Overflow vulnerability exists in FFmpeg 4.2 in filter_intra at libavfilter/vf_bwdif.c, which might lead to memory corruption and other potential consequences. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО ffmpeg5, если оно не используется и не является зависимостью других пакетов 2. Отказаться от использования ПО ffmpeg5 в пользу ПО gstreamer 3. Соблюдайте следующие требования: - Использовать ПО ffmpeg5 только на низком или отдельно выделенном уровне целостности - При использовании ПО ffmpeg5 выполнять обработку файлов, полученных только из доверенных источников - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.7 ffmpeg A Denial of Service vulnerability exists in FFmpeg 4.2 due to a memory leak in avcodec_alloc_context3 at options.c. [NistCWE(cwe='CWE-401')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:N/A:P', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H', score=6.5) 1. Удалить ПО ffmpeg5, если оно не используется и не является зависимостью других пакетов 2. Отказаться от использования ПО ffmpeg5 в пользу ПО gstreamer 3. Соблюдайте следующие требования: - Использовать ПО ffmpeg5 только на низком или отдельно выделенном уровне целостности - При использовании ПО ffmpeg5 выполнять обработку файлов, полученных только из доверенных источников - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.7 ffmpeg A Denial of Service vulnerability exists in FFmpeg 4.2 due to a memory leak in the wtvfile_open_sector function in wtvdec.c. [NistCWE(cwe='CWE-401')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:N/A:P', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H', score=6.5) 1. Удалить ПО ffmpeg5, если оно не используется и не является зависимостью других пакетов 2. Отказаться от использования ПО ffmpeg5 в пользу ПО gstreamer 3. Соблюдайте следующие требования: - Использовать ПО ffmpeg5 только на низком или отдельно выделенном уровне целостности - При использовании ПО ffmpeg5 выполнять обработку файлов, полученных только из доверенных источников - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.7 ffmpeg A Denial of Service vulnerability exists in FFmpeg 4.2 due to a memory leak in the av_dict_set function in dict.c. [NistCWE(cwe='CWE-401')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:N/A:P', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H', score=6.5) 1. Удалить ПО ffmpeg5, если оно не используется и не является зависимостью других пакетов 2. Отказаться от использования ПО ffmpeg5 в пользу ПО gstreamer 3. Соблюдайте следующие требования: - Использовать ПО ffmpeg5 только на низком или отдельно выделенном уровне целостности - При использовании ПО ffmpeg5 выполнять обработку файлов, полученных только из доверенных источников - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.7 intel-microcode Incomplete cleanup in some Intel(R) VT-d products may allow an authenticated user to potentially enable escalation of privilege via local access. [NistCWE(cwe='CWE-459')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:P/I:P/A:P', score=4.6) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H', score=8.8) - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 intel-microcode Improper isolation of shared resources in some Intel(R) Processors may allow an authenticated user to potentially enable information disclosure via local access. [NistCWE(cwe='CWE-668')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:P/I:N/A:N', score=2.1) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N', score=6.5) - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 intel-microcode Observable timing discrepancy in some Intel(R) Processors may allow an authenticated user to potentially enable information disclosure via local access. [NistCWE(cwe='CWE-203')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:P/I:N/A:N', score=2.1) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N', score=3.3) - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 intel-microcode Domain-bypass transient execution vulnerability in some Intel Atom(R) Processors may allow an authenticated user to potentially enable information disclosure via local access. [] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:P/I:N/A:N', score=2.1) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N', score=6.5) - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux The 802.11 standard that underpins Wi-Fi Protected Access (WPA, WPA2, and WPA3) and Wired Equivalent Privacy (WEP) doesn't require that received fragments be cleared from memory after (re)connecting to a network. Under the right circumstances, when another device sends fragmented frames encrypted using WEP, CCMP, or GCMP, this can be abused to inject arbitrary network packets and/or exfiltrate user data. [] NistCVSS2(cvss='AV:A/AC:M/Au:N/C:P/I:N/A:N', score=2.9) NistCVSS3(cvss='AV:A/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N', score=3.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux The 802.11 standard that underpins Wi-Fi Protected Access (WPA, WPA2, and WPA3) and Wired Equivalent Privacy (WEP) doesn't require that all fragments of a frame are encrypted under the same key. An adversary can abuse this to decrypt selected fragments when another device sends fragmented frames and the WEP, CCMP, or GCMP encryption key is periodically renewed. [NistCWE(cwe='CWE-327')] NistCVSS2(cvss='AV:A/AC:H/Au:N/C:P/I:N/A:N', score=1.8) NistCVSS3(cvss='AV:A/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N', score=2.6) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux The 802.11 standard that underpins Wi-Fi Protected Access (WPA, WPA2, and WPA3) and Wired Equivalent Privacy (WEP) doesn't require that the A-MSDU flag in the plaintext QoS header field is authenticated. Against devices that support receiving non-SSP A-MSDU frames (which is mandatory as part of 802.11n), an adversary can abuse this to inject arbitrary network packets. [NistCWE(cwe='CWE-327')] NistCVSS2(cvss='AV:A/AC:M/Au:N/C:N/I:P/A:N', score=2.9) NistCVSS3(cvss='AV:A/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N', score=3.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 gnutls28 An issue was discovered in GnuTLS before 3.6.15. A server can trigger a NULL pointer dereference in a TLS 1.3 client if a no_renegotiation alert is sent with unexpected timing, and then an invalid second handshake occurs. The crash happens in the application's error handling path, where the gnutls_deinit function is called after detecting a handshake failure. [NistCWE(cwe='CWE-476')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - Включить защиту файловой системы ("установить МКЦ на ФС") - Запретить установку бита исполнения для каталогов с сертификатами и ключами, включая права администраторов. - Активировать режим замкнутой программной среды. - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности. - Для непривилегированных пользователей активировать режим Киоск-2. - Ограничить редактирование файлов /etc/gnutls/ и переменных окружения GNUTLS_PRIORITY исключительно группой root. Astra Linux 1.7 libxml2 GNOME project libxml2 v2.9.10 has a global buffer over-read vulnerability in xmlEncodeEntitiesInternal at libxml2/entities.c. The issue has been fixed in commit 50f06b3e. [NistCWE(cwe='CWE-125')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:N/A:P', score=6.4) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:L', score=6.5) - Удалить ПО libxml2, если оно не используется и не является зависимостью других пакетов - Отказаться от использования библиотеки libxml2 в пользу ПО expat или libxmltok - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.7 linux In the Linux kernel through 5.8.7, local attackers able to inject conntrack netlink configuration could overflow a local buffer, causing crashes or triggering use of incorrect protocol numbers in ctnetlink_parse_tuple_filter in net/netfilter/nf_conntrack_netlink.c, aka CID-1cc5ef91d2ff. [NistCWE(cwe='CWE-120')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:N/I:P/A:P', score=3.6) NistCVSS3(cvss='AV:L/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:H', score=6.0) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 libproxy url::recvline in url.cpp in libproxy 0.4.x through 0.4.15 allows a remote HTTP server to trigger uncontrolled recursion via a response composed of an infinite stream that lacks a newline character. This leads to stack exhaustion. [NistCWE(cwe='CWE-674')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) Astra Linux 1.7 linux The rbd block device driver in drivers/block/rbd.c in the Linux kernel through 5.8.9 used incomplete permission checking for access to rbd devices, which could be leveraged by local attackers to map or unmap rbd block devices, aka CID-f44d04e696fe. [NistCWE(cwe='CWE-863')] NistCVSS2(cvss='AV:L/AC:M/Au:N/C:N/I:P/A:N', score=1.9) NistCVSS3(cvss='AV:L/AC:H/PR:H/UI:N/S:U/C:N/I:H/A:N', score=4.1) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 grub2 A flaw was found in grub2 in versions prior to 2.06. The rmmod implementation allows the unloading of a module used as a dependency without checking if any other dependent module is still loaded leading to a use-after-free scenario. This could allow arbitrary code to be executed or a bypass of Secure Boot protections. The highest threat from this vulnerability is to data confidentiality and integrity as well as system availability. [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:C/I:C/A:C', score=7.2) NistCVSS3(cvss='AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H', score=8.2) - Установить "взломостойкий" пароль на загрузчик Grub - Обеспечить возможность запуска grub2 только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 libhibernate3-java A flaw was found in hibernate-core in versions prior to and including 5.4.23.Final. A SQL injection in the implementation of the JPA Criteria API can permit unsanitized literals when a literal is used in the SQL comments of the query. This flaw could allow an attacker to access unauthorized information or possibly conduct further attacks. The highest threat from this vulnerability is to data confidentiality and integrity. [NistCWE(cwe='CWE-89'), NistCWE(cwe='CWE-89')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:N', score=5.8) NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N', score=7.4) Astra Linux 1.7 linux A NULL pointer dereference flaw was found in the Linux kernel's GPU Nouveau driver functionality in versions prior to 5.12-rc1 in the way the user calls ioctl DRM_IOCTL_NOUVEAU_CHANNEL_ALLOC. This flaw allows a local user to crash the system. [NistCWE(cwe='CWE-476')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:N/I:N/A:C', score=4.9) NistCVSS3(cvss='AV:L/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H', score=4.4) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux A flaw was found in the HDLC_PPP module of the Linux kernel in versions before 5.9-rc7. Memory corruption and a read overflow is caused by improper input validation in the ppp_cp_parse_cr function which can cause the system to crash or cause a denial of service. The highest threat from this vulnerability is to data confidentiality and integrity as well as system availability. [NistCWE(cwe='CWE-20'), NistCWE(cwe='CWE-20')] NistCVSS2(cvss='AV:N/AC:M/Au:S/C:P/I:P/A:C', score=7.5) NistCVSS3(cvss='AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H', score=7.2) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux A flaw was found in the Linux kernel in versions before 5.9-rc7. Traffic between two Geneve endpoints may be unencrypted when IPsec is configured to encrypt traffic for the specific UDP port used by the GENEVE tunnel allowing anyone between the two endpoints to read the traffic unencrypted. The main threat from this vulnerability is to data confidentiality. [NistCWE(cwe='CWE-319'), NistCWE(cwe='CWE-319')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:N/A:N', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N', score=7.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 grub2 A flaw was found in grub2 in versions prior to 2.06. During USB device initialization, descriptors are read with very little bounds checking and assumes the USB device is providing sane values. If properly exploited, an attacker could trigger memory corruption leading to arbitrary code execution allowing a bypass of the Secure Boot mechanism. The highest threat from this vulnerability is to data confidentiality and integrity as well as system availability. [NistCWE(cwe='CWE-787'), NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:C/I:C/A:C', score=7.2) NistCVSS3(cvss='AV:P/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H', score=7.6) - Установить "взломостойкий" пароль на загрузчик Grub - Обеспечить возможность запуска grub2 только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 nss A flaw was found in the way NSS handled CCS (ChangeCipherSpec) messages in TLS 1.3. This flaw allows a remote attacker to send multiple CCS messages, causing a denial of service for servers compiled with the NSS library. The highest threat from this vulnerability is to system availability. This flaw affects NSS versions before 3.58. [NistCWE(cwe='CWE-770'), NistCWE(cwe='CWE-770')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - Запускать ПО, использующее библиотеку NSS, только на низком или отдельно выделенном уровне целостности - При работе с ПО, которое задействует библиотеку NSS выполнять обработку файлов, полученных только из доверенных источников - Обеспечить возможность запуска ПО, использующего библиотеку NSS только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной сред Astra Linux 1.7 linux A flaw was found in the Linux kernel. A use-after-free was found in the way the console subsystem was using ioctls KDGKBSENT and KDSKBSENT. A local user could use this flaw to get read memory access out of bounds. The highest threat from this vulnerability is to data confidentiality. [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:L/AC:M/Au:N/C:P/I:N/A:N', score=1.9) NistCVSS3(cvss='AV:L/AC:H/PR:H/UI:N/S:U/C:H/I:N/A:N', score=4.1) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux A flaw was found in Linux Kernel because access to the global variable fg_console is not properly synchronized leading to a use after free in con_font_op. [NistCWE(cwe='CWE-362'), NistCWE(cwe='CWE-662')] NistCVSS2(cvss='AV:L/AC:M/Au:N/C:C/I:C/A:C', score=6.9) NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.0) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux A vulnerability was found in the Linux Kernel where the function sunkbd_reinit having been scheduled by sunkbd_interrupt before sunkbd being freed. Though the dangling pointer is set to NULL in sunkbd_disconnect, there is still an alias in sunkbd_reinit causing Use After Free. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:C/I:C/A:C', score=7.2) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux A vulnerability was found in Linux Kernel where refcount leak in llcp_sock_bind() causing use-after-free which might lead to privilege escalations. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:C/I:C/A:C', score=7.2) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux A vulnerability was found in Linux Kernel, where a refcount leak in llcp_sock_connect() causing use-after-free which might lead to privilege escalations. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:C/I:C/A:C', score=7.2) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux A memory leak vulnerability was found in Linux kernel in llcp_sock_connect [NistCWE(cwe='CWE-401')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux A vulnerability was found in Linux kernel where non-blocking socket in llcp_sock_connect() leads to leak and eventually hanging-up the system. [NistCWE(cwe='CWE-400')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:N/I:N/A:C', score=4.9) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 ceph A flaw was found in ceph in versions prior to 16.y.z where ceph stores mgr module passwords in clear text. This can be found by searching the mgr logs for grafana and dashboard, with passwords visible. [NistCWE(cwe='CWE-312')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:P/I:N/A:N', score=2.1) NistCVSS3(cvss='AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N', score=4.4) - Используя брандмауэр, ограничьте все входящие соединения, кроме необходимых для Ceph и администрирования - Используйте аутентификацию по SSH-ключам - Ограничьте пользователей, которые могут подключаться через SSH - Включите шифрование трафика между клиентами и серверами - Включите Cephx - Установите строгие права доступа на файлы с ключами Ceph - Создавайте пользователей Ceph с минимально необходимыми правами Astra Linux 1.7 linux A flaw memory leak in the Linux kernel performance monitoring subsystem was found in the way if using PERF_EVENT_IOC_SET_FILTER. A local user could use this flaw to starve the resources causing denial of service. [NistCWE(cwe='CWE-401'), NistCWE(cwe='CWE-401')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:N/I:N/A:C', score=4.9) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux A flaw in ICMP packets in the Linux kernel may allow an attacker to quickly scan open UDP ports. This flaw allows an off-path remote attacker to effectively bypass source port UDP randomization. Software that relies on UDP source port randomization are indirectly affected as well on the Linux Based Products (RUGGEDCOM RM1224: All versions between v5.0 and v6.4, SCALANCE M-800: All versions between v5.0 and v6.4, SCALANCE S615: All versions between v5.0 and v6.4, SCALANCE SC-600: All versions prior to v2.1.3, SCALANCE W1750D: v8.3.0.1, v8.6.0, and v8.7.0, SIMATIC Cloud Connect 7: All versions, SIMATIC MV500 Family: All versions, SIMATIC NET CP 1243-1 (incl. SIPLUS variants): Versions 3.1.39 and later, SIMATIC NET CP 1243-7 LTE EU: Version [NistCWE(cwe='CWE-330'), NistCWE(cwe='CWE-330')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:N', score=5.8) NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N', score=7.4) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 openldap A flaw was found in OpenLDAP. This flaw allows an attacker who can send a malicious packet to be processed by OpenLDAP’s slapd server, to trigger an assertion failure. The highest threat from this vulnerability is to system availability. [NistCWE(cwe='CWE-617')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - Исключить из автозапуска сетевой сервис - Обеспечить возможность запуска openldap только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 openldap A flaw was found in OpenLDAP in versions before 2.4.56. This flaw allows an attacker who sends a malicious packet processed by OpenLDAP to force a failed assertion in csnNormalize23(). The highest threat from this vulnerability is to system availability. [NistCWE(cwe='CWE-617')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - Исключить из автозапуска сетевой сервис - Обеспечить возможность запуска openldap только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 wireshark In Wireshark 3.2.0 to 3.2.6, 3.0.0 to 3.0.13, and 2.6.0 to 2.6.20, the TCP dissector could crash. This was addressed in epan/dissectors/packet-tcp.c by changing the handling of the invalid 0xFFFF checksum. [NistCWE(cwe='CWE-354')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) Astra Linux 1.7 wireshark In Wireshark 3.2.0 to 3.2.6, 3.0.0 to 3.0.13, and 2.6.0 to 2.6.20, the MIME Multipart dissector could crash. This was addressed in epan/dissectors/packet-multipart.c by correcting the deallocation of invalid MIME parts. [] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) Astra Linux 1.7 linux An issue was discovered in the kernel in NetBSD 7.1. An Access Point (AP) forwards EAPOL frames to other clients even though the sender has not yet successfully authenticated to the AP. This might be abused in projected Wi-Fi networks to launch denial-of-service attacks against connected clients and makes it easier to exploit other vulnerabilities in connected clients. [NistCWE(cwe='CWE-287')] NistCVSS2(cvss='AV:A/AC:M/Au:N/C:N/I:N/A:P', score=2.9) NistCVSS3(cvss='AV:A/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H', score=5.3) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux An issue was discovered in the ALFA Windows 10 driver 6.1316.1209 for AWUS036H. The Wi-Fi implementation does not verify the Message Integrity Check (authenticity) of fragmented TKIP frames. An adversary can abuse this to inject and possibly decrypt packets in WPA or WPA2 networks that support the TKIP data-confidentiality protocol. [NistCWE(cwe='CWE-354')] NistCVSS2(cvss='AV:A/AC:L/Au:N/C:N/I:P/A:N', score=3.3) NistCVSS3(cvss='AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N', score=6.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux An issue was discovered on Samsung Galaxy S3 i9305 4.4.4 devices. The WEP, WPA, WPA2, and WPA3 implementations accept second (or subsequent) broadcast fragments even when sent in plaintext and process them as full unfragmented frames. An adversary can abuse this to inject arbitrary network packets independent of the network configuration. [NistCWE(cwe='CWE-20')] NistCVSS2(cvss='AV:A/AC:L/Au:N/C:N/I:P/A:N', score=3.3) NistCVSS3(cvss='AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N', score=6.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux An issue was discovered in the Linux kernel 5.8.9. The WEP, WPA, WPA2, and WPA3 implementations reassemble fragments even though some of them were sent in plaintext. This vulnerability can be abused to inject packets and/or exfiltrate selected fragments when another device sends fragmented frames and the WEP, CCMP, or GCMP data-confidentiality protocol is used. [] NistCVSS2(cvss='AV:A/AC:H/Au:N/C:P/I:P/A:N', score=3.2) NistCVSS3(cvss='AV:A/AC:H/PR:N/UI:R/S:U/C:L/I:H/A:N', score=5.4) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 libproxy url.cpp in libproxy through 0.4.15 is prone to a buffer overflow when PAC is enabled, as demonstrated by a large PAC file that is delivered without a Content-length header. [NistCWE(cwe='CWE-120')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) Astra Linux 1.7 highlight.js Highlight.js is a syntax highlighter written in JavaScript. Highlight.js versions before 9.18.2 and 10.1.2 are vulnerable to Prototype Pollution. A malicious HTML code block can be crafted that will result in prototype pollution of the base object's prototype during highlighting. If you allow users to insert custom HTML code blocks into your page/app via parsing Markdown code blocks (or similar) and do not filter the language names the user can provide you may be vulnerable. The pollution should just be harmless data but this can cause problems for applications not expecting these properties to exist and can result in strange behavior or application crashes, i.e. a potential DOS vector. If your website or application does not render user provided data it should be unaffected. Versions 9.18.2 and 10.1.2 and newer include fixes for this vulnerability. If you are using version 7 or 8 you are encouraged to upgrade to a newer release. [NistCWE(cwe='CWE-471')] NistCVSS2(cvss='AV:N/AC:M/Au:S/C:N/I:P/A:P', score=4.9) NistCVSS3(cvss='AV:N/AC:H/PR:L/UI:R/S:C/C:N/I:H/A:N', score=5.8) Astra Linux 1.7 wireshark Memory leak in Kafka protocol dissector in Wireshark 3.4.0 and 3.2.0 to 3.2.8 allows denial of service via packet injection or crafted capture file. [NistCWE(cwe='CWE-401')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:N/A:L', score=3.1) Astra Linux 1.7 wireshark Crash in USB HID protocol dissector and possibly other dissectors in Wireshark 3.4.0 and 3.2.0 to 3.2.8 allows denial of service via packet injection or crafted capture file. [NistCWE(cwe='CWE-125')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:L', score=4.2) Astra Linux 1.7 linux, bluez Bluetooth LE and BR/EDR secure pairing in Bluetooth Core Specification 2.1 through 5.2 may permit a nearby man-in-the-middle attacker to identify the Passkey used during pairing (in the Passkey authentication procedure) by reflection of the public key and the authentication evidence of the initiating device, potentially permitting this attacker to complete authenticated pairing with the responding device using the correct Passkey for the pairing session. The attack methodology determines the Passkey value one bit at a time. [NistCWE(cwe='CWE-287')] NistCVSS2(cvss='AV:A/AC:M/Au:N/C:P/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:A/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N', score=4.2) Astra Linux 1.7 opensc The Oberthur smart card software driver in OpenSC before 0.21.0-rc1 has a heap-based buffer overflow in sc_oberthur_read_file. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:N/I:N/A:P', score=2.1) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Использовать пакет opensc только при отсутствии альтернатив - Обеспечить возможность запуска opensc только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 opensc The gemsafe GPK smart card software driver in OpenSC before 0.21.0-rc1 has a stack-based buffer overflow in sc_pkcs15emu_gemsafeGPK_init. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:N/I:N/A:P', score=2.1) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Использовать пакет opensc только при отсутствии альтернатив - Обеспечить возможность запуска opensc только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 opensc The TCOS smart card software driver in OpenSC before 0.21.0-rc1 has a stack-based buffer overflow in tcos_decipher. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:N/I:N/A:P', score=2.1) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Использовать пакет opensc только при отсутствии альтернатив - Обеспечить возможность запуска opensc только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 wireshark In Wireshark through 3.2.7, the Facebook Zero Protocol (aka FBZERO) dissector could enter an infinite loop. This was addressed in epan/dissectors/packet-fbzero.c by correcting the implementation of offset advancement. [NistCWE(cwe='CWE-835')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) Astra Linux 1.7 thunderbird When a HTTPS pages was embedded in a HTTP page, and there was a service worker registered for the former, the service worker could have intercepted the request for the secure page despite the iframe not being a secure context due to the (insecure) framing. This vulnerability affects Firefox < 84. [] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N', score=6.5) 1. Удалить ПО Thunderbird, если оно не используется 2. Отказаться от использования ПО Thunderbird в пользу ПО Evolution 3. Обеспечить запуск ПО Thunderbird в изолированной программной среде с применением инструмента Firejail Astra Linux 1.7 jetty9 In Eclipse Jetty versions 1.0 thru 9.4.32.v20200930, 10.0.0.alpha1 thru 10.0.0.beta2, and 11.0.0.alpha1 thru 11.0.0.beta2O, on Unix like systems, the system's temporary directory is shared between all users on that system. A collocated user can observe the process of creating a temporary sub directory in the shared temporary directory and race to complete the creation of the temporary subdirectory. If the attacker wins the race then they will have read and write permission to the subdirectory used to unpack web applications, including their WEB-INF/lib jar files and JSP files. If any code is ever executed out of this temporary directory, this can lead to a local privilege escalation vulnerability. [NistCWE(cwe='CWE-378')] NistCVSS2(cvss='AV:L/AC:M/Au:N/C:P/I:P/A:P', score=4.4) NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.0) - Удалить ПО jetty9, если оно не используется и не является зависимостью других пакетов - Отказаться от использования ПО jetty9 - Обеспечить возможность запуска ПО jetty9 только доверенными пользователями ОС - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.7 jetty9 In Eclipse Jetty 9.4.6.v20170531 to 9.4.36.v20210114 (inclusive), 10.0.0, and 11.0.0 when Jetty handles a request containing multiple Accept headers with a large number of “quality” (i.e. q) parameters, the server may enter a denial of service (DoS) state due to high CPU usage processing those quality values, resulting in minutes of CPU time exhausted processing those quality values. [NistCWE(cwe='CWE-407'), NistCWE(cwe='CWE-400')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:N/A:P', score=4.3) NistCVSS3(cvss='AV:A/AC:L/PR:L/UI:R/S:U/C:N/I:N/A:H', score=5.2) - Удалить ПО jetty9, если оно не используется и не является зависимостью других пакетов - Отказаться от использования ПО jetty9 - Обеспечить возможность запуска ПО jetty9 только доверенными пользователями ОС - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.7 linux An issue was discovered in the Linux kernel through 5.9.1, as used with Xen through 4.14.x. Guest OS users can cause a denial of service (host OS hang) via a high rate of events to dom0, aka CID-e99502f76271. [] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:N/I:N/A:C', score=4.9) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux An issue was discovered in the Linux kernel through 5.9.1, as used with Xen through 4.14.x. drivers/xen/events/events_base.c allows event-channel removal during the event-handling loop (a race condition). This can cause a use-after-free or NULL pointer dereference, as demonstrated by a dom0 crash via events for an in-reconfiguration paravirtualized device, aka CID-073d0552ead5. [NistCWE(cwe='CWE-362')] NistCVSS2(cvss='AV:L/AC:M/Au:N/C:N/I:N/A:C', score=4.7) NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H', score=4.7) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 grub2 A flaw was found in grub2 in versions prior to 2.06. Variable names present are expanded in the supplied command line into their corresponding variable contents, using a 1kB stack buffer for temporary storage, without sufficient bounds checking. If the function is called with a command line that references a variable with a sufficiently large payload, it is possible to overflow the stack buffer, corrupt the stack frame and control execution which could also circumvent Secure Boot protections. The highest threat from this vulnerability is to data confidentiality and integrity as well as system availability. [NistCWE(cwe='CWE-121'), NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:C/I:C/A:C', score=7.2) NistCVSS3(cvss='AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H', score=6.7) - Установить "взломостойкий" пароль на загрузчик Grub - Обеспечить возможность запуска grub2 только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 linux A flaw was found in the way RTAS handled memory accesses in userspace to kernel communication. On a locked down (usually due to Secure Boot) guest system running on top of PowerVM or KVM hypervisors (pseries platform) a root like local user could use this flaw to further increase their privileges to that of a running kernel. [NistCWE(cwe='CWE-862')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:C/I:C/A:C', score=7.2) NistCVSS3(cvss='AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H', score=6.7) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 grub2 A flaw was found in grub2 in versions prior to 2.06. The cutmem command does not honor secure boot locking allowing an privileged attacker to remove address ranges from memory creating an opportunity to circumvent SecureBoot protections after proper triage about grub's memory layout. The highest threat from this vulnerability is to data confidentiality and integrity as well as system availability. [NistCWE(cwe='CWE-285')] NistCVSS2(cvss='AV:L/AC:M/Au:N/C:C/I:C/A:C', score=6.9) NistCVSS3(cvss='AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H', score=7.5) - Установить "взломостойкий" пароль на загрузчик Grub - Обеспечить возможность запуска grub2 только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 linux A vulnerability was found in the Linux kernel, where accessing a deallocated instance in printer_ioctl() printer_ioctl() tries to access of a printer_dev instance. However, use-after-free arises because it had been freed by gprinter_free(). [NistCWE(cwe='CWE-201'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 openjpeg2 A heap-buffer overflow was found in the way openjpeg2 handled certain PNG format files. An attacker could use this flaw to cause an application crash or in some cases execute arbitrary code with the permission of the user running such an application. [NistCWE(cwe='CWE-122')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=7.8) - Используйте openjpeg2 с минимально необходимыми привилегиями - Активировать режим замкнутой программной среды - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Включить режим замкнутой программной среды - При использовании ПО openjpeg2 выполнять обработку файлов, полученных только из доверенных источников Astra Linux 1.7 linux A flaw was found in the JFS filesystem code in the Linux Kernel which allows a local attacker with the ability to set extended attributes to panic the system, causing memory corruption or escalating privileges. The highest threat from this vulnerability is to confidentiality, integrity, as well as system availability. [NistCWE(cwe='CWE-119'), NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:P/I:P/A:C', score=6.1) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 openjpeg2 A flaw was found in OpenJPEG’s encoder. This flaw allows an attacker to pass specially crafted x,y offset input to OpenJPEG to use during encoding. The highest threat from this vulnerability is to confidentiality, integrity, as well as system availability. [NistCWE(cwe='CWE-20'), NistCWE(cwe='CWE-120')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=7.8) - Используйте openjpeg2 с минимально необходимыми привилегиями - Активировать режим замкнутой программной среды - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Включить режим замкнутой программной среды - При использовании ПО openjpeg2 выполнять обработку файлов, полученных только из доверенных источников Astra Linux 1.7 openjpeg2 A flaw was found in OpenJPEG’s encoder in the opj_dwt_calc_explicit_stepsizes() function. This flaw allows an attacker who can supply crafted input to decomposition levels to cause a buffer overflow. The highest threat from this vulnerability is to system availability. [NistCWE(cwe='CWE-20'), NistCWE(cwe='CWE-125')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:N/A:P', score=4.3) NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H', score=5.5) - Используйте openjpeg2 с минимально необходимыми привилегиями - Активировать режим замкнутой программной среды - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Включить режим замкнутой программной среды - При использовании ПО openjpeg2 выполнять обработку файлов, полученных только из доверенных источников Astra Linux 1.7 linux A vulnerability was found in Linux Kernel where in the spk_ttyio_receive_buf2() function, it would dereference spk_ttyio_synth without checking whether it is NULL or not, and may lead to a NULL-ptr deref crash. [NistCWE(cwe='CWE-476')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:N/I:N/A:P', score=2.1) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 ceph A flaw was found in ceph-dashboard. The JSON Web Token (JWT) used for user authentication is stored by the frontend application in the browser’s localStorage which is potentially vulnerable to attackers via XSS attacks. The highest threat from this vulnerability is to data confidentiality and integrity. [NistCWE(cwe='CWE-522')] NistCVSS2(cvss='AV:N/AC:M/Au:S/C:N/I:P/A:N', score=3.5) NistCVSS3(cvss='AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N', score=5.4) - Используя брандмауэр, ограничьте все входящие соединения, кроме необходимых для Ceph и администрирования - Используйте аутентификацию по SSH-ключам - Ограничьте пользователей, которые могут подключаться через SSH - Включите шифрование трафика между клиентами и серверами - Включите Cephx - Установите строгие права доступа на файлы с ключами Ceph - Создавайте пользователей Ceph с минимально необходимыми правами Astra Linux 1.7 openjpeg2 There's a flaw in openjpeg in versions prior to 2.4.0 in src/lib/openjp2/pi.c. When an attacker is able to provide crafted input to be processed by the openjpeg encoder, this could cause an out-of-bounds read. The greatest impact from this flaw is to application availability. [NistCWE(cwe='CWE-122'), NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:N/A:P', score=4.3) NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H', score=5.5) - Используйте openjpeg2 с минимально необходимыми привилегиями - Активировать режим замкнутой программной среды - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Включить режим замкнутой программной среды - При использовании ПО openjpeg2 выполнять обработку файлов, полученных только из доверенных источников Astra Linux 1.7 openjpeg2 There's a flaw in openjpeg's t2 encoder in versions prior to 2.4.0. An attacker who is able to provide crafted input to be processed by openjpeg could cause a null pointer dereference. The highest impact of this flaw is to application availability. [NistCWE(cwe='CWE-125'), NistCWE(cwe='CWE-125')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:N/A:P', score=4.3) NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H', score=5.5) - Используйте openjpeg2 с минимально необходимыми привилегиями - Активировать режим замкнутой программной среды - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Включить режим замкнутой программной среды - При использовании ПО openjpeg2 выполнять обработку файлов, полученных только из доверенных источников Astra Linux 1.7 openjpeg2 A flaw was found in OpenJPEG in versions prior to 2.4.0. This flaw allows an attacker to provide specially crafted input to the conversion or encoding functionality, causing an out-of-bounds read. The highest threat from this vulnerability is system availability. [NistCWE(cwe='CWE-125'), NistCWE(cwe='CWE-125')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:N/A:C', score=7.1) NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H', score=5.5) - Используйте openjpeg2 с минимально необходимыми привилегиями - Активировать режим замкнутой программной среды - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Включить режим замкнутой программной среды - При использовании ПО openjpeg2 выполнять обработку файлов, полученных только из доверенных источников Astra Linux 1.7 openjpeg2 There's a flaw in src/lib/openjp2/pi.c of openjpeg in versions prior to 2.4.0. If an attacker is able to provide untrusted input to openjpeg's conversion/encoding functionality, they could cause an out-of-bounds read. The highest impact of this flaw is to application availability. [NistCWE(cwe='CWE-125'), NistCWE(cwe='CWE-125')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:N/A:P', score=4.3) NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H', score=5.5) - Используйте openjpeg2 с минимально необходимыми привилегиями - Активировать режим замкнутой программной среды - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Включить режим замкнутой программной среды - При использовании ПО openjpeg2 выполнять обработку файлов, полученных только из доверенных источников Astra Linux 1.7 webkit2gtk A use after free issue was addressed with improved memory management. This issue is fixed in macOS Big Sur 11.0.1, watchOS 7.1, iOS 14.2 and iPadOS 14.2, iCloud for Windows 11.5, Safari 14.0.1, tvOS 14.2, iTunes 12.11 for Windows. Processing maliciously crafted web content may lead to arbitrary code execution. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=7.8) 1. Удалить ПО webkit2gtk, если оно не используется и не является зависимостью других используемых пакетов 2. Запускать приложения, использующие ПО webkit2gtk, в изолированной программной среде с применением инструмента Firejail 3. Выполнить безопасную настройку webkit2gtk: - При использовании ПО webkit2gtk производить обработку веб-контента только из доверенных источников - Включить и настроить межсетевой экран ufw для фильтрации трафика - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Отключить и удалить неиспользуемые учётные записи пользователей - Включить мандатный контроль целостности (МКЦ) - Включить режим замкнутой программной среды - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 exim4 Exim 4 before 4.94.2 allows Execution with Unnecessary Privileges. Because Exim operates as root in the log directory (owned by a non-root user), a symlink or hard link attack allows overwriting critical root-owned files anywhere on the filesystem. [NistCWE(cwe='CWE-59')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:C/I:C/A:C', score=7.2) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Исключить из автозапуска сетевой сервис (стандартная конфигурация ОС) - Обеспечить возможность запуска exim4 только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 exim4 Exim 4 before 4.94.2 allows Execution with Unnecessary Privileges. Because Exim operates as root in the spool directory (owned by a non-root user), an attacker can write to a /var/spool/exim4/input spool header file, in which a crafted recipient address can indirectly lead to command execution. [NistCWE(cwe='CWE-269')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:C/I:C/A:C', score=7.2) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Исключить из автозапуска сетевой сервис (стандартная конфигурация ОС) - Обеспечить возможность запуска exim4 только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 exim4 Exim 4 before 4.94.2 allows Integer Overflow to Buffer Overflow because get_stdinput allows unbounded reads that are accompanied by unbounded increases in a certain size variable. NOTE: exploitation may be impractical because of the execution time needed to overflow (multiple days). [NistCWE(cwe='CWE-190')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:C/I:C/A:C', score=7.2) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Исключить из автозапуска сетевой сервис (стандартная конфигурация ОС) - Обеспечить возможность запуска exim4 только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 exim4 Exim 4 before 4.94.2 allows Out-of-bounds Write because the main function, while setuid root, copies the current working directory pathname into a buffer that is too small (on some common platforms). [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:C/I:C/A:C', score=7.2) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Исключить из автозапуска сетевой сервис (стандартная конфигурация ОС) - Обеспечить возможность запуска exim4 только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 exim4 Exim 4 before 4.94.2 allows Heap-based Buffer Overflow in queue_run via two sender options: -R and -S. This may cause privilege escalation from exim to root. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:C/I:C/A:C', score=7.2) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Исключить из автозапуска сетевой сервис (стандартная конфигурация ОС) - Обеспечить возможность запуска exim4 только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 exim4 Exim 4 before 4.94.2 allows Exposure of File Descriptor to Unintended Control Sphere because rda_interpret uses a privileged pipe that lacks a close-on-exec flag. [] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:C/I:C/A:C', score=7.2) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Исключить из автозапуска сетевой сервис (стандартная конфигурация ОС) - Обеспечить возможность запуска exim4 только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 exim4 Exim 4 before 4.94.2 allows Heap-based Buffer Overflow because it mishandles "-F '.('" on the command line, and thus may allow privilege escalation from any user to root. This occurs because of the interpretation of negative sizes in strncpy. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:C/I:C/A:C', score=7.2) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Исключить из автозапуска сетевой сервис (стандартная конфигурация ОС) - Обеспечить возможность запуска exim4 только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 exim4 Exim 4 before 4.94.2 allows Execution with Unnecessary Privileges. The -oP option is available to the exim user, and allows a denial of service because root-owned files can be overwritten. [NistCWE(cwe='CWE-269')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:N/I:P/A:C', score=5.6) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H', score=6.1) - Исключить из автозапуска сетевой сервис (стандартная конфигурация ОС) - Обеспечить возможность запуска exim4 только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 exim4 Exim 4 before 4.94.2 has Improper Neutralization of Line Delimiters. Local users can alter the behavior of root processes because a recipient address can have a newline character. [] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:C/I:C/A:C', score=7.2) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Исключить из автозапуска сетевой сервис (стандартная конфигурация ОС) - Обеспечить возможность запуска exim4 только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 exim4 Exim 4 before 4.94.2 allows Integer Overflow to Buffer Overflow in receive_add_recipient via an e-mail message with fifty million recipients. NOTE: remote exploitation may be difficult because of resource consumption. [NistCWE(cwe='CWE-190')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:P/A:P', score=7.5) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) - Исключить из автозапуска сетевой сервис (стандартная конфигурация ОС) - Обеспечить возможность запуска exim4 только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 exim4 Exim 4 before 4.94.2 allows Use After Free in smtp_reset in certain situations that may be common for builds with OpenSSL. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:P/A:P', score=7.5) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) - Исключить из автозапуска сетевой сервис (стандартная конфигурация ОС) - Обеспечить возможность запуска exim4 только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 exim4 Exim 4 before 4.94.2 has Improper Initialization that can lead to recursion-based stack consumption or other consequences. This occurs because use of certain getc functions is mishandled when a client uses BDAT instead of DATA. [NistCWE(cwe='CWE-665')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - Исключить из автозапуска сетевой сервис (стандартная конфигурация ОС) - Обеспечить возможность запуска exim4 только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 exim4 Exim 4 before 4.94.2 has Improper Neutralization of Line Delimiters. An authenticated remote SMTP client can insert newline characters into a spool file (which indirectly leads to remote code execution as root) via AUTH= in a MAIL FROM command. [] NistCVSS2(cvss='AV:N/AC:L/Au:S/C:C/I:C/A:C', score=9.0) NistCVSS3(cvss='AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=8.8) - Исключить из автозапуска сетевой сервис (стандартная конфигурация ОС) - Обеспечить возможность запуска exim4 только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 exim4 Exim 4 before 4.94.2 has Improper Restriction of Write Operations within the Bounds of a Memory Buffer. This occurs when processing name=value pairs within MAIL FROM and RCPT TO commands. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:P/A:P', score=7.5) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) - Исключить из автозапуска сетевой сервис (стандартная конфигурация ОС) - Обеспечить возможность запуска exim4 только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 exim4 Exim 4 before 4.94.2 allows Out-of-bounds Read. smtp_setup_msg may disclose sensitive information from process memory to an unauthenticated SMTP client. [NistCWE(cwe='CWE-125')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:N/A:N', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N', score=7.5) - Исключить из автозапуска сетевой сервис (стандартная конфигурация ОС) - Обеспечить возможность запуска exim4 только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 exim4 Exim 4 before 4.94.2 allows Buffer Underwrite that may result in unauthenticated remote attackers executing arbitrary commands, because smtp_ungetc was only intended to push back characters, but can actually push back non-character error codes such as EOF. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:P/A:P', score=7.5) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) - Исключить из автозапуска сетевой сервис (стандартная конфигурация ОС) - Обеспечить возможность запуска exim4 только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 exim4 Exim 4 before 4.94.2 allows Out-of-bounds Read because pdkim_finish_bodyhash does not validate the relationship between sig->bodyhash.len and b->bh.len; thus, a crafted DKIM-Signature header might lead to a leak of sensitive information from process memory. [NistCWE(cwe='CWE-125')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:N/A:N', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N', score=7.5) - Исключить из автозапуска сетевой сервис (стандартная конфигурация ОС) - Обеспечить возможность запуска exim4 только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 exim4 Exim 4 before 4.94.2 has Improper Neutralization of Line Delimiters, relevant in non-default configurations that enable Delivery Status Notification (DSN). Certain uses of ORCPT= can place a newline into a spool header file, and indirectly allow unauthenticated remote attackers to execute arbitrary commands as root. [] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:C/I:C/A:C', score=9.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) - Исключить из автозапуска сетевой сервис (стандартная конфигурация ОС) - Обеспечить возможность запуска exim4 только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 wireshark In Wireshark 3.2.0 to 3.2.7, the GQUIC dissector could crash. This was addressed in epan/dissectors/packet-gquic.c by correcting the implementation of offset advancement. [NistCWE(cwe='CWE-682')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) Astra Linux 1.7 linux The vgacon subsystem in the Linux kernel before 5.8.10 mishandles software scrollback. There is a vgacon_scrolldelta out-of-bounds read, aka CID-973c096f6a85. [NistCWE(cwe='CWE-125')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:P/I:N/A:P', score=3.6) NistCVSS3(cvss='AV:P/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H', score=5.9) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 libmaxminddb libmaxminddb before 1.4.3 has a heap-based buffer over-read in dump_entry_data_list in maxminddb.c. [NistCWE(cwe='CWE-125')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:N/A:P', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H', score=6.5) Astra Linux 1.7 linux In drivers/target/target_core_xcopy.c in the Linux kernel before 5.10.7, insufficient identifier checking in the LIO SCSI target code can be used by remote attackers to read or write files via directory traversal in an XCOPY request, aka CID-2896c93811e3. For example, an attack can occur over a network if the attacker has access to one iSCSI LUN. The attacker gains control over file access because I/O operations are proxied via an attacker-selected backstore. [NistCWE(cwe='CWE-22')] NistCVSS2(cvss='AV:N/AC:L/Au:S/C:P/I:P/A:N', score=5.5) NistCVSS3(cvss='AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N', score=8.1) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 node-glob-parent This affects the package glob-parent before 5.1.2. The enclosure regex used to check for strings ending in enclosure containing path separator. [NistCWE(cwe='CWE-400')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L', score=5.3) Astra Linux 1.7 python-bottle The package bottle from 0 and before 0.12.19 are vulnerable to Web Cache Poisoning by using a vector called parameter cloaking. When the attacker can separate query parameters using a semicolon (;), they can cause a difference in the interpretation of the request between the proxy (running with default configuration) and the server. This can result in malicious requests being cached as completely safe ones, as the proxy would usually not see the semicolon as a separator, and therefore would not include it in a cache key of an unkeyed parameter. [NistCWE(cwe='CWE-444')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:N', score=5.8) NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:H/A:H', score=6.8) Astra Linux 1.7 linux An information disclosure vulnerability exists in the /proc/pid/syscall functionality of Linux Kernel 5.1 Stable and 5.4.66. More specifically, this issue has been introduced in v5.1-rc4 (commit 631b7abacd02b88f4b0795c08b54ad4fc3e7c7c0) and is still present in v5.10-rc4, so it’s likely that all versions in between are affected. An attacker can read /proc/pid/syscall to trigger this vulnerability, which leads to the kernel leaking memory contents. [NistCWE(cwe='CWE-681'), NistCWE(cwe='CWE-681')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:P/I:N/A:N', score=2.1) NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N', score=4.0) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux A buffer over-read (at the framebuffer layer) in the fbcon code in the Linux kernel before 5.8.15 could be used by local attackers to read kernel memory, aka CID-6735b4632def. [NistCWE(cwe='CWE-125')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:P/I:P/A:C', score=6.1) NistCVSS3(cvss='AV:P/AC:L/PR:H/UI:N/S:U/C:L/I:H/A:H', score=5.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux An issue was discovered in drivers/accessibility/speakup/spk_ttyio.c in the Linux kernel through 5.9.9. Local attackers on systems with the speakup driver could cause a local denial of service attack, aka CID-d41227544427. This occurs because of an invalid free when the line discipline is used more than once. [NistCWE(cwe='CWE-763')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:N/I:N/A:C', score=4.9) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux A slab-out-of-bounds read in fbcon in the Linux kernel before 5.9.7 could be used by local attackers to read privileged information or potentially crash the kernel, aka CID-3c4e0dff2095. This occurs because KD_FONT_OP_COPY in drivers/tty/vt/vt.c can be used for manipulations such as font height. [NistCWE(cwe='CWE-125')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:P/I:P/A:C', score=6.1) NistCVSS3(cvss='AV:P/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:H', score=5.0) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux An issue was discovered in Xen through 4.14.x. Some OSes (such as Linux, FreeBSD, and NetBSD) are processing watch events using a single thread. If the events are received faster than the thread is able to handle, they will get queued. As the queue is unbounded, a guest may be able to trigger an OOM in the backend. All systems with a FreeBSD, Linux, or NetBSD (any version) dom0 are vulnerable. [NistCWE(cwe='CWE-770')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:N/I:N/A:C', score=4.9) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H', score=6.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux An issue was discovered in the Linux kernel through 5.10.1, as used with Xen through 4.14.x. The Linux kernel PV block backend expects the kernel thread handler to reset ring->xenblkd to NULL when stopped. However, the handler may not have time to run if the frontend quickly toggles between the states connect and disconnect. As a consequence, the block backend may re-use a pointer after it was freed. A misbehaving guest can trigger a dom0 crash by continuously connecting / disconnecting a block frontend. Privilege escalation and information leaks cannot be ruled out. This only affects systems with a Linux blkback. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:C/I:C/A:C', score=7.2) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H', score=8.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 webkit2gtk "Clear History and Website Data" did not clear the history. The issue was addressed with improved data deletion. This issue is fixed in macOS Big Sur 11.1, Security Update 2020-001 Catalina, Security Update 2020-007 Mojave, iOS 14.3 and iPadOS 14.3, tvOS 14.3. A user may be unable to fully delete browsing history. [] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:N/I:P/A:N', score=2.1) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N', score=3.3) 1. Удалить ПО webkit2gtk, если оно не используется и не является зависимостью других используемых пакетов 2. Запускать приложения, использующие ПО webkit2gtk, в изолированной программной среде с применением инструмента Firejail 3. Выполнить безопасную настройку webkit2gtk: - При использовании ПО webkit2gtk производить обработку веб-контента только из доверенных источников - Включить и настроить межсетевой экран ufw для фильтрации трафика - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Отключить и удалить неиспользуемые учётные записи пользователей - Включить мандатный контроль целостности (МКЦ) - Включить режим замкнутой программной среды - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 linux A locking inconsistency issue was discovered in the tty subsystem of the Linux kernel through 5.9.13. drivers/tty/tty_io.c and drivers/tty/tty_jobctrl.c may allow a read-after-free attack against TIOCGSID, aka CID-c8bcd9c5be24. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:P/I:N/A:N', score=2.1) NistCVSS3(cvss='AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N', score=4.4) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux A locking issue was discovered in the tty subsystem of the Linux kernel through 5.9.13. drivers/tty/tty_jobctrl.c allows a use-after-free attack against TIOCSPGRP, aka CID-54ffccbf053b. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:C/I:C/A:C', score=7.2) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 apache2 Apache HTTP Server versions 2.4.0 to 2.4.46 A specially crafted Digest nonce can cause a stack overflow in mod_auth_digest. There is no report of this overflow being exploitable, nor the Apache HTTP Server team could create one, though some particular compiler and/or compilation option might make it possible, with limited consequences anyway due to the size (a single byte) and the value (zero byte) of the overflow [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L', score=7.3) - Обеспечить возможность использования библиотеки libapache2-mod-nss только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 cairo A flaw was found in cairo's image-compositor.c in all versions prior to 1.17.4. This flaw allows an attacker who can provide a crafted input file to cairo's image-compositor (for example, by convincing a user to open a file in an application using cairo, or if an application uses cairo on untrusted input) to cause a stack buffer overflow -> out-of-bounds WRITE. The highest impact from this vulnerability is to confidentiality, integrity, as well as system availability. [NistCWE(cwe='CWE-121'), NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=7.8) - Использовать ПО pycairo только на низком или отдельно выделенном уровне целостности - При использовании ПО pycairo выполнять обработку файлов, полученных только из доверенных источников - Обеспечить возможность запуска pycairo только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.7 linux A flaw possibility of race condition and incorrect initialization of the process id was found in the Linux kernel child/parent process identification handling while filtering signal handlers. A local attacker is able to abuse this flaw to bypass checks to send any signal to a privileged process. [NistCWE(cwe='CWE-665'), NistCWE(cwe='CWE-362')] NistCVSS2(cvss='AV:L/AC:M/Au:N/C:P/I:P/A:P', score=4.4) NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:L', score=4.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux An out-of-bounds (OOB) memory access flaw was found in x25_bind in net/x25/af_x25.c in the Linux kernel version v5.12-rc5. A bounds check failure allows a local attacker with a user account on the system to gain access to out-of-bounds memory, leading to a system crash or a leak of internal kernel information. The highest threat from this vulnerability is to confidentiality, integrity, as well as system availability. [NistCWE(cwe='CWE-125')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:C/I:P/A:C', score=6.8) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 tiff An integer overflow flaw was found in libtiff that exists in the tif_getimage.c file. This flaw allows an attacker to inject and execute arbitrary code when a user opens a crafted TIFF file. The highest threat from this vulnerability is to confidentiality, integrity, as well as system availability. [NistCWE(cwe='CWE-190')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=7.8) - При использовании библиотеки tiff выполнять обработку файлов, полученных только из доверенных источников; - Обеспечить запуск приложений, использующих библиотеку tiff, в изолированной программной среде с применением инструмента Firejail; - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash, а также активировать режим Киоск-2; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - По возможности запускать прикладное ПО в отдельной сессии. Astra Linux 1.7 tiff A heap-based buffer overflow flaw was found in libtiff in the handling of TIFF images in libtiff's TIFF2PDF tool. A specially crafted TIFF file can lead to arbitrary code execution. The highest threat from this vulnerability is to confidentiality, integrity, as well as system availability. [NistCWE(cwe='CWE-787'), NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=7.8) - При использовании библиотеки tiff выполнять обработку файлов, полученных только из доверенных источников; - Обеспечить запуск приложений, использующих библиотеку tiff, в изолированной программной среде с применением инструмента Firejail; - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash, а также активировать режим Киоск-2; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - По возможности запускать прикладное ПО в отдельной сессии. Astra Linux 1.7 ffmpeg decode_frame in libavcodec/exr.c in FFmpeg 4.3.1 has an out-of-bounds write because of errors in calculations of when to perform memset zero operations. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) 1. Удалить ПО ffmpeg5, если оно не используется и не является зависимостью других пакетов 2. Отказаться от использования ПО ffmpeg5 в пользу ПО gstreamer 3. Соблюдайте следующие требования: - Использовать ПО ffmpeg5 только на низком или отдельно выделенном уровне целостности - При использовании ПО ffmpeg5 выполнять обработку файлов, полученных только из доверенных источников - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.7 linux mwifiex_cmd_802_11_ad_hoc_start in drivers/net/wireless/marvell/mwifiex/join.c in the Linux kernel through 5.10.4 might allow remote attackers to execute arbitrary code via a long SSID value, aka CID-5c455c5ab332. [NistCWE(cwe='CWE-120')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:C/I:C/A:C', score=7.2) NistCVSS3(cvss='AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=8.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 php-pear Tar.php in Archive_Tar through 1.4.11 allows write operations with Directory Traversal due to inadequate checking of symbolic links, a related issue to CVE-2020-28948. [NistCWE(cwe='CWE-22'), NistCWE(cwe='CWE-59')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:P/A:N', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N', score=7.5) - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Включить режим замкнутой программной среды Astra Linux 1.7 openldap An integer underflow was discovered in OpenLDAP before 2.4.57 leading to slapd crashes in the Certificate Exact Assertion processing, resulting in denial of service (schema_init.c serialNumberAndIssuerCheck). [NistCWE(cwe='CWE-191')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - Исключить из автозапуска сетевой сервис - Обеспечить возможность запуска openldap только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 openldap A flaw was discovered in OpenLDAP before 2.4.57 leading to an assertion failure in slapd in the saslAuthzTo validation, resulting in denial of service. [NistCWE(cwe='CWE-617')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - Исключить из автозапуска сетевой сервис - Обеспечить возможность запуска openldap только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 openldap A flaw was discovered in OpenLDAP before 2.4.57 leading to a slapd crash in the Values Return Filter control handling, resulting in denial of service (double free and out-of-bounds read). [NistCWE(cwe='CWE-125')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - Исключить из автозапуска сетевой сервис - Обеспечить возможность запуска openldap только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 openldap A flaw was discovered in OpenLDAP before 2.4.57 leading to an invalid pointer free and slapd crash in the saslAuthzTo processing, resulting in denial of service. [NistCWE(cwe='CWE-763')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - Исключить из автозапуска сетевой сервис - Обеспечить возможность запуска openldap только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 openldap A flaw was discovered in OpenLDAP before 2.4.57 leading to a double free and slapd crash in the saslAuthzTo processing, resulting in denial of service. [NistCWE(cwe='CWE-415')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - Исключить из автозапуска сетевой сервис - Обеспечить возможность запуска openldap только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 openldap A flaw was discovered in OpenLDAP before 2.4.57 leading to a memch->bv_len miscalculation and slapd crash in the saslAuthzTo processing, resulting in denial of service. [] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - Исключить из автозапуска сетевой сервис - Обеспечить возможность запуска openldap только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 openldap A flaw was discovered in OpenLDAP before 2.4.57 leading to an infinite loop in slapd with the cancel_extop Cancel operation, resulting in denial of service. [NistCWE(cwe='CWE-835')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - Исключить из автозапуска сетевой сервис - Обеспечить возможность запуска openldap только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 openldap An integer underflow was discovered in OpenLDAP before 2.4.57 leading to a slapd crash in the Certificate List Exact Assertion processing, resulting in denial of service. [NistCWE(cwe='CWE-191')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - Исключить из автозапуска сетевой сервис - Обеспечить возможность запуска openldap только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 openldap A flaw was discovered in ldap_X509dn2bv in OpenLDAP before 2.4.57 leading to a slapd crash in the X.509 DN parsing in ad_keystring, resulting in denial of service. [NistCWE(cwe='CWE-843')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - Исключить из автозапуска сетевой сервис - Обеспечить возможность запуска openldap только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 openldap A flaw was discovered in OpenLDAP before 2.4.57 leading in an assertion failure in slapd in the X.509 DN parsing in decode.c ber_next_element, resulting in denial of service. [NistCWE(cwe='CWE-617')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - Исключить из автозапуска сетевой сервис - Обеспечить возможность запуска openldap только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 linux An issue was discovered in the Linux kernel before 5.8.10. virt/kvm/kvm_main.c has a kvm_io_bus_unregister_dev memory leak upon a kmalloc failure, aka CID-f65886606c2d. [NistCWE(cwe='CWE-401')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:N/I:N/A:P', score=2.1) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 rustc In the standard library in Rust before 1.49.0, String::retain() function has a panic safety problem. It allows creation of a non-UTF-8 Rust string when the provided closure panics. This bug could result in a memory safety violation when other string APIs assume that UTF-8 encoding is used on the same string. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) Astra Linux 1.7 rustc In the standard library in Rust before 1.49.0, VecDeque::make_contiguous has a bug that pops the same element more than once under certain condition. This bug could result in a use-after-free or double free. [NistCWE(cwe='CWE-415')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:P/A:P', score=7.5) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) Astra Linux 1.7 linux An issue was discovered in the FUSE filesystem implementation in the Linux kernel before 5.10.6, aka CID-5d069dbe8aaf. fuse_do_getattr() calls make_bad_inode() in inappropriate situations, causing a system crash. NOTE: the original fix for this vulnerability was incomplete, and its incompleteness is tracked as CVE-2021-28950. [NistCWE(cwe='CWE-459')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:N/I:N/A:C', score=4.9) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 libwebp A flaw was found in libwebp in versions before 1.0.1. A heap-based buffer overflow in function WebPDecodeRGBInto is possible due to an invalid check for buffer size. The highest threat from this vulnerability is to data confidentiality and integrity as well as system availability. [NistCWE(cwe='CWE-787'), NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:P/A:P', score=7.5) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) Astra Linux 1.7 libwebp A flaw was found in libwebp in versions before 1.0.1. A use-after-free was found due to a thread being killed too early. The highest threat from this vulnerability is to data confidentiality and integrity as well as system availability. [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:P/A:P', score=7.5) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) Astra Linux 1.7 libwebp A flaw was found in libwebp in versions before 1.0.1. An out-of-bounds read was found in function ChunkVerifyAndAssign. The highest threat from this vulnerability is to data confidentiality and to the service availability. [NistCWE(cwe='CWE-125'), NistCWE(cwe='CWE-125')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:N/A:P', score=6.4) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H', score=9.1) Astra Linux 1.7 libwebp A flaw was found in libwebp in versions before 1.0.1. An out-of-bounds read was found in function ChunkAssignData. The highest threat from this vulnerability is to data confidentiality and to the service availability. [NistCWE(cwe='CWE-125'), NistCWE(cwe='CWE-125')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:N/A:P', score=6.4) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H', score=9.1) Astra Linux 1.7 libwebp A flaw was found in libwebp in versions before 1.0.1. When reading a file libwebp allocates an excessive amount of memory. The highest threat from this vulnerability is to the service availability. [NistCWE(cwe='CWE-20'), NistCWE(cwe='CWE-400')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) Astra Linux 1.7 linux An issue was discovered in netfilter in the Linux kernel before 5.10. There can be a use-after-free in the packet processing context, because the per-CPU sequence count is mishandled during concurrent iptables rules replacement. This could be exploited with the CAP_NET_ADMIN capability in an unprivileged namespace. NOTE: cc00bca was reverted in 5.12. [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H', score=6.7) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: media: dvbdev: Fix memory leak in dvb_media_device_free() dvb_media_device_free() is leaking memory. Free `dvbdev->adapter->conn` before setting it to NULL, as documented in include/media/media-device.h: "The media_entity instance itself must be freed explicitly by the driver if required." [NistCWE(cwe='CWE-401')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: i2c: sprd: fix reference leak when pm_runtime_get_sync fails The PM reference count is not expected to be incremented on return in sprd_i2c_master_xfer() and sprd_i2c_remove(). However, pm_runtime_get_sync will increment the PM reference count even failed. Forgetting to putting operation will result in a reference leak here. Replace it with pm_runtime_resume_and_get to keep usage counter balanced. [] None NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H', score=4.7) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: i2c: imx-lpi2c: fix reference leak when pm_runtime_get_sync fails The PM reference count is not expected to be incremented on return in lpi2c_imx_master_enable. However, pm_runtime_get_sync will increment the PM reference count even failed. Forgetting to putting operation will result in a reference leak here. Replace it with pm_runtime_resume_and_get to keep usage counter balanced. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: i2c: img-scb: fix reference leak when pm_runtime_get_sync fails The PM reference count is not expected to be incremented on return in functions img_i2c_xfer and img_i2c_init. However, pm_runtime_get_sync will increment the PM reference count even failed. Forgetting to putting operation will result in a reference leak here. Replace it with pm_runtime_resume_and_get to keep usage counter balanced. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: media: aspeed: fix clock handling logic Video engine uses eclk and vclk for its clock sources and its reset control is coupled with eclk so the current clock enabling sequence works like below. Enable eclk De-assert Video Engine reset 10ms delay Enable vclk It introduces improper reset on the Video Engine hardware and eventually the hardware generates unexpected DMA memory transfers that can corrupt memory region in random and sporadic patterns. This issue is observed very rarely on some specific AST2500 SoCs but it causes a critical kernel panic with making a various shape of signature so it's extremely hard to debug. Moreover, the issue is observed even when the video engine is not actively used because udevd turns on the video engine hardware for a short time to make a query in every boot. To fix this issue, this commit changes the clock handling logic to make the reset de-assertion triggered after enabling both eclk and vclk. Also, it adds clk_unprepare call for a case when probe fails. clk: ast2600: fix reset settings for eclk and vclk Video engine reset setting should be coupled with eclk to match it with the setting for previous Aspeed SoCs which is defined in clk-aspeed.c since all Aspeed SoCs are sharing a single video engine driver. Also, reset bit 6 is defined as 'Video Engine' reset in datasheet so it should be de-asserted when eclk is enabled. This commit fixes the setting. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux, linux-5.10 In the Linux kernel, the following vulnerability has been resolved: can: dev: can_get_echo_skb(): prevent call to kfree_skb() in hard IRQ context If a driver calls can_get_echo_skb() during a hardware IRQ (which is often, but not always, the case), the 'WARN_ON(in_irq)' in net/core/skbuff.c#skb_release_head_state() might be triggered, under network congestion circumstances, together with the potential risk of a NULL pointer dereference. The root cause of this issue is the call to kfree_skb() instead of dev_kfree_skb_irq() in net/core/dev.c#enqueue_to_backlog(). This patch prevents the skb to be freed within the call to netif_rx() by incrementing its reference count with skb_get(). The skb is finally freed by one of the in-irq-context safe functions: dev_consume_skb_any() or dev_kfree_skb_any(). The "any" version is used because some drivers might call can_get_echo_skb() in a normal context. The reason for this issue to occur is that initially, in the core network stack, loopback skb were not supposed to be received in hardware IRQ context. The CAN stack is an exeption. This bug was previously reported back in 2017 in [1] but the proposed patch never got accepted. While [1] directly modifies net/core/dev.c, we try to propose here a smoother modification local to CAN network stack (the assumption behind is that only CAN devices are affected by this issue). [1] http://lore.kernel.org/r/57a3ffb6-3309-3ad5-5a34-e93c3fe3614d@cetitec.com [NistCWE(cwe='CWE-476'), NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) Astra Linux 1.7 linux IBM Power9 (AIX 7.1, 7.2, and VIOS 3.1) processors could allow a local user to obtain sensitive information from the data in the L1 cache under extenuating circumstances. IBM X-Force ID: 189296. [] NistCVSS2(cvss='AV:L/AC:M/Au:N/C:P/I:N/A:N', score=1.9) NistCVSS3(cvss='AV:L/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N', score=5.1) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 atftp An exploitable denial of service vulnerability exists in the atftpd daemon functionality of atftp 0.7.git20120829-3.1+b1. A specially crafted sequence of RRQ-Multicast requests trigger an assert() call resulting in denial-of-service. An attacker can send a sequence of malicious packets to trigger this vulnerability. [NistCWE(cwe='CWE-617'), NistCWE(cwe='CWE-617')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - С помощью межсетевого экрана ограничить обмен данными посредством ПО atftp-сервера внутренними локальными сетями, а также обеспечить возможность взаимодействия только между доверенными рабочими станциями путем конфигурации файлов /etc/hosts.allow и /etc/hosts.deny - При использовании ПО atftp выполнять обработку файлов, полученных только из доверенных источников - При использовании ПО atftpd в режиме сервиса проверить корректность конфигурации файлов /etc/hosts.allow (список рабочих станций, с которых разрешен доступ) и /etc/hosts.deny (список рабочих станций, с которых запрещен доступ) Astra Linux 1.7 chromium Use after free in Media in Google Chrome prior to 81.0.4044.92 allowed a remote attacker to execute arbitrary code via a crafted HTML page. [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:C/I:C/A:C', score=9.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 nss When performing EC scalar point multiplication, the wNAF point multiplication algorithm was used; which leaked partial information about the nonce used during signature generation. Given an electro-magnetic trace of a few signature generations, the private key could have been computed. This vulnerability affects Firefox < 80 and Firefox for Android < 80. [] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:N/A:N', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N', score=5.3) - Запускать ПО, использующее библиотеку NSS, только на низком или отдельно выделенном уровне целостности - При работе с ПО, которое задействует библиотеку NSS выполнять обработку файлов, полученных только из доверенных источников - Обеспечить возможность запуска ПО, использующего библиотеку NSS только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной сред Astra Linux 1.7 openjpeg2 OpenJPEG through 2.3.1 has a heap-based buffer overflow in opj_t1_clbl_decode_processor in openjp2/t1.c because of lack of opj_j2k_update_image_dimensions validation. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - Используйте openjpeg2 с минимально необходимыми привилегиями - Активировать режим замкнутой программной среды - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Включить режим замкнутой программной среды - При использовании ПО openjpeg2 выполнять обработку файлов, полученных только из доверенных источников Astra Linux 1.7 wireshark In Wireshark 3.0.x before 3.0.8, the BT ATT dissector could crash. This was addressed in epan/dissectors/packet-btatt.c by validating opcodes. [NistCWE(cwe='CWE-476')] NistCVSS2(cvss='AV:A/AC:L/Au:N/C:N/I:N/A:P', score=3.3) NistCVSS3(cvss='AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=6.5) Astra Linux 1.7 php7.3 In PHP versions 7.2.x below 7.2.33, 7.3.x below 7.3.21 and 7.4.x below 7.4.9, while processing PHAR files using phar extension, phar_parse_zipfile could be tricked into accessing freed memory, which could lead to a crash or information disclosure. [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:L/AC:M/Au:N/C:P/I:N/A:P', score=3.3) NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:L', score=4.8) - Удалить ПО php, если оно не используется и не является зависимостью других пакетов; - Запускать ПО php в изолированной программной среде с применением инструмента Firejail; - При использовании ПО php выполнять обработку файлов, полученных только из доверенных источников; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Для непривилегированных пользователей активировать блокировку интерпретаторов; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Включить режим замкнутой программной среды. Astra Linux 1.7 php7.3 In PHP versions 7.2.x below 7.2.34, 7.3.x below 7.3.23 and 7.4.x below 7.4.11, when AES-CCM mode is used with openssl_encrypt() function with 12 bytes IV, only first 7 bytes of the IV is actually used. This can lead to both decreased security and incorrect encryption data. [NistCWE(cwe='CWE-20'), NistCWE(cwe='CWE-326')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:P/A:N', score=6.4) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N', score=5.4) - Удалить ПО php, если оно не используется и не является зависимостью других пакетов; - Запускать ПО php в изолированной программной среде с применением инструмента Firejail; - При использовании ПО php выполнять обработку файлов, полученных только из доверенных источников; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Для непривилегированных пользователей активировать блокировку интерпретаторов; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Включить режим замкнутой программной среды. Astra Linux 1.7 php7.3 In PHP versions 7.2.x below 7.2.34, 7.3.x below 7.3.23 and 7.4.x below 7.4.11, when PHP is processing incoming HTTP cookie values, the cookie names are url-decoded. This may lead to cookies with prefixes like __Host confused with cookies that decode to such prefix, thus leading to an attacker being able to forge cookie which is supposed to be secure. See also CVE-2020-8184 for more information. [NistCWE(cwe='CWE-20'), NistCWE(cwe='CWE-565')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:P/A:N', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N', score=4.3) - Удалить ПО php, если оно не используется и не является зависимостью других пакетов; - Запускать ПО php в изолированной программной среде с применением инструмента Firejail; - При использовании ПО php выполнять обработку файлов, полученных только из доверенных источников; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Для непривилегированных пользователей активировать блокировку интерпретаторов; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Включить режим замкнутой программной среды. Astra Linux 1.7 php7.3 In PHP versions 7.3.x below 7.3.26, 7.4.x below 7.4.14 and 8.0.0, when validating URL with functions like filter_var($url, FILTER_VALIDATE_URL), PHP will accept an URL with invalid password as valid URL. This may lead to functions that rely on URL being valid to mis-parse the URL and produce wrong data as components of the URL. [NistCWE(cwe='CWE-20'), NistCWE(cwe='CWE-20')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:P/A:N', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N', score=5.3) - Удалить ПО php, если оно не используется и не является зависимостью других пакетов; - Запускать ПО php в изолированной программной среде с применением инструмента Firejail; - При использовании ПО php выполнять обработку файлов, полученных только из доверенных источников; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Для непривилегированных пользователей активировать блокировку интерпретаторов; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Включить режим замкнутой программной среды. Astra Linux 1.7 netty Netty 4.1.43.Final allows HTTP Request Smuggling because it mishandles Transfer-Encoding whitespace (such as a [space]Transfer-Encoding:chunked line) and a later Content-Length header. This issue exists because of an incomplete fix for CVE-2019-16869. [NistCWE(cwe='CWE-444')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:P/A:N', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N', score=7.5) Astra Linux 1.7 ruby-websocket-extensions websocket-extensions ruby module prior to 0.1.5 allows Denial of Service (DoS) via Regex Backtracking. The extension parser may take quadratic time when parsing a header containing an unclosed string parameter value whose content is a repeating two-byte sequence of a backslash and some other character. This could be abused by an attacker to conduct Regex Denial Of Service (ReDoS) on a single-threaded server by providing a malicious payload with the Sec-WebSocket-Extensions header. [] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) Astra Linux 1.7 node-y18n The package y18n before 3.2.2, 4.0.1 and 5.0.5, is vulnerable to Prototype Pollution. [NistCWE(cwe='CWE-1321')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:P/A:P', score=7.5) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L', score=7.3) Astra Linux 1.7 node-ini This affects the package ini before 1.3.6. If an attacker submits a malicious INI file to an application that parses it with ini.parse, they will pollute the prototype on the application. This can be exploited further depending on the context. [NistCWE(cwe='CWE-1321')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:P/A:P', score=7.5) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L', score=7.3) Astra Linux 1.7 openjpeg2 opj_t1_clbl_decode_processor in openjp2/t1.c in OpenJPEG 2.3.1 through 2020-01-28 has a heap-based buffer overflow in the qmfbid==1 case, a different issue than CVE-2020-6851. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) - Используйте openjpeg2 с минимально необходимыми привилегиями - Активировать режим замкнутой программной среды - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Включить режим замкнутой программной среды - При использовании ПО openjpeg2 выполнять обработку файлов, полученных только из доверенных источников Astra Linux 1.7 curl curl 7.62.0 through 7.70.0 is vulnerable to an information disclosure vulnerability that can lead to a partial password being leaked over the network and to the DNS server(s). [NistCWE(cwe='CWE-200'), NistCWE(cwe='CWE-200')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:N/A:N', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N', score=7.5) - Использовать ПО curl только на низком или отдельно выделенном уровне целостности - Запускать ПО в изолированной программной среде с применением инструмента Firejail - Отказаться от использования ПО curl в пользу ПО wget - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Включить режим замкнутой программной среды Astra Linux 1.7 curl curl 7.20.0 through 7.70.0 is vulnerable to improper restriction of names for files and other resources that can lead too overwriting a local file when the -J flag is used. [NistCWE(cwe='CWE-99'), NistCWE(cwe='CWE-74')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:P/I:P/A:P', score=4.6) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Использовать ПО curl только на низком или отдельно выделенном уровне целостности - Запускать ПО в изолированной программной среде с применением инструмента Firejail - Отказаться от использования ПО curl в пользу ПО wget - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Включить режим замкнутой программной среды Astra Linux 1.7 curl Due to use of a dangling pointer, libcurl 7.29.0 through 7.71.1 can use the wrong connection when sending data. [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:N/A:N', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N', score=7.5) - Использовать ПО curl только на низком или отдельно выделенном уровне целостности - Запускать ПО в изолированной программной среде с применением инструмента Firejail - Отказаться от использования ПО curl в пользу ПО wget - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Включить режим замкнутой программной среды Astra Linux 1.7 curl A malicious server can use the FTP PASV response to trick curl 7.73.0 and earlier into connecting back to a given IP address and port, and this way potentially make curl extract information about services that are otherwise private and not disclosed, for example doing port scanning and service banner extractions. [NistCWE(cwe='CWE-200')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:N/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N', score=3.7) - Использовать ПО curl только на низком или отдельно выделенном уровне целостности - Запускать ПО в изолированной программной среде с применением инструмента Firejail - Отказаться от использования ПО curl в пользу ПО wget - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Включить режим замкнутой программной среды Astra Linux 1.7 curl curl 7.21.0 to and including 7.73.0 is vulnerable to uncontrolled recursion due to a stack overflow issue in FTP wildcard match parsing. [NistCWE(cwe='CWE-674'), NistCWE(cwe='CWE-674')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - Использовать ПО curl только на низком или отдельно выделенном уровне целостности - Запускать ПО в изолированной программной среде с применением инструмента Firejail - Отказаться от использования ПО curl в пользу ПО wget - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Включить режим замкнутой программной среды Astra Linux 1.7 curl curl 7.41.0 through 7.73.0 is vulnerable to an improper check for certificate revocation due to insufficient verification of the OCSP response. [NistCWE(cwe='CWE-295'), NistCWE(cwe='CWE-295')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:P/A:N', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N', score=7.5) - Использовать ПО curl только на низком или отдельно выделенном уровне целостности - Запускать ПО в изолированной программной среде с применением инструмента Firejail - Отказаться от использования ПО curl в пользу ПО wget - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Включить режим замкнутой программной среды Astra Linux 1.7 bind9 BIND servers are vulnerable if they are running an affected version and are configured to use GSS-TSIG features. In a configuration which uses BIND's default settings the vulnerable code path is not exposed, but a server can be rendered vulnerable by explicitly setting valid values for the tkey-gssapi-keytab or tkey-gssapi-credentialconfiguration options. Although the default configuration is not vulnerable, GSS-TSIG is frequently used in networks where BIND is integrated with Samba, as well as in mixed-server environments that combine BIND servers with Active Directory domain controllers. The most likely outcome of a successful exploitation of the vulnerability is a crash of the named process. However, remote code execution, while unproven, is theoretically possible. Affects: BIND 9.5.0 -> 9.11.27, 9.12.0 -> 9.16.11, and versions BIND 9.11.3-S1 -> 9.11.27-S1 and 9.16.8-S1 -> 9.16.11-S1 of BIND Supported Preview Edition. Also release versions 9.17.0 -> 9.17.1 of the BIND 9.17 development branch [NistCWE(cwe='CWE-120')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H', score=8.1) - Исключить из автозапуска сетевой сервис (стандартная конфигурация ОС) - Обеспечить возможность запуска bind9 только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 intel-microcode Observable discrepancy in the RAPL interface for some Intel(R) Processors may allow a privileged user to potentially enable information disclosure via local access. [NistCWE(cwe='CWE-203')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:P/I:N/A:N', score=2.1) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N', score=5.5) - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 intel-microcode Improper removal of sensitive information before storage or transfer in some Intel(R) Processors may allow an authenticated user to potentially enable information disclosure via local access. [NistCWE(cwe='CWE-212')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:P/I:N/A:N', score=2.1) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N', score=5.5) - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 intel-microcode Improper isolation of shared resources in some Intel(R) Processors may allow an authenticated user to potentially enable information disclosure via local access. [NistCWE(cwe='CWE-668')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:P/I:N/A:N', score=2.1) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N', score=5.5) - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 wireshark In Wireshark 3.2.0 to 3.2.1, 3.0.0 to 3.0.8, and 2.6.0 to 2.6.14, the EAP dissector could crash. This was addressed in epan/dissectors/packet-eap.c by using more careful sscanf parsing. [NistCWE(cwe='CWE-125')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) Astra Linux 1.7 wireshark In Wireshark 3.2.0 to 3.2.1, 3.0.0 to 3.0.8, and 2.6.0 to 2.6.14, the WiMax DLMAP dissector could crash. This was addressed in plugins/epan/wimax/msg_dlmap.c by validating a length field. [NistCWE(cwe='CWE-20')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) Astra Linux 1.7 wireshark In Wireshark 3.2.0 to 3.2.1, 3.0.0 to 3.0.8, and 2.6.0 to 2.6.14, the LTE RRC dissector could leak memory. This was addressed in epan/dissectors/packet-lte-rrc.c by adjusting certain append operations. [NistCWE(cwe='CWE-401')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) Astra Linux 1.7 xen Observable response discrepancy in some Intel(R) Processors may allow an authorized user to potentially enable information disclosure via local access. [NistCWE(cwe='CWE-203')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:P/I:N/A:N', score=2.1) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N', score=6.5) - Отказаться от использования ПО Xen в пользу сертифицированной виртуализации libvirt/qemu. - Включить защиту файловой системы ("установить МКЦ на ФС"); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash, а также активировать режим Киоск-2. - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности. - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды Astra Linux 1.7 linux, bluez Improper access control in BlueZ may allow an authenticated user to potentially enable information disclosure via adjacent access. [] NistCVSS2(cvss='AV:A/AC:L/Au:S/C:P/I:N/A:N', score=2.7) NistCVSS3(cvss='AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N', score=5.7) Astra Linux 1.7 wpa In p2p_copy_client_info of p2p.c, there is a possible out of bounds write due to a missing bounds check. This could lead to remote code execution if the target device is performing a Wi-Fi Direct search, with no additional execution privileges needed. User interaction is not needed for exploitation.Product: AndroidVersions: Android-10 Android-11 Android-8.1 Android-9Android ID: A-172937525 [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:A/AC:M/Au:N/C:C/I:C/A:C', score=7.9) NistCVSS3(cvss='AV:A/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H', score=7.5) - Отключить по возможности беспроводные системы передачи данных (WiFi, Bluetooth) - При необходимости использования WiFi - использовать для защиты данных сети VPN - Использовать ПО wpa только на низком или отдельно выделенном уровне целостности - Обеспечить возможность запуска ПО wpa только доверенными пользователями ОС - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash, а также активировать режим Киоск-2 - Запускать ПО wpa с минимально необходимыми правами доступа - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды. Astra Linux 1.7 linux In __hidinput_change_resolution_multipliers of hid-input.c, there is a possible out of bounds write due to a heap buffer overflow. This could lead to local escalation of privilege with no additional execution privileges needed. User interaction is not needed for exploitation.Product: AndroidVersions: Android kernelAndroid ID: A-173843328References: Upstream kernel [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:P/I:P/A:P', score=4.6) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In pfkey_dump of af_key.c, there is a possible out-of-bounds read due to a missing bounds check. This could lead to local information disclosure in the kernel with System execution privileges needed. User interaction is not needed for exploitation.Product: AndroidVersions: Android kernelAndroid ID: A-110373476 [NistCWE(cwe='CWE-125')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:C/I:N/A:N', score=4.9) NistCVSS3(cvss='AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N', score=4.4) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux Rejected reason: This CVE ID has been rejected or withdrawn by its CVE Numbering Authority. [] None None - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In memzero_explicit of compiler-clang.h, there is a possible bypass of defense in depth due to uninitialized data. This could lead to local information disclosure with no additional execution privileges needed. User interaction is not needed for exploitation.Product: AndroidVersions: Android kernelAndroid ID: A-171418586References: Upstream kernel [NistCWE(cwe='CWE-908')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:P/I:N/A:N', score=2.1) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In bpf_skb_change_head of filter.c, there is a possible out of bounds read due to a use after free. This could lead to local escalation of privilege with System execution privileges needed. User interaction is not needed for exploitation.Product: AndroidVersions: Android kernelAndroid ID: A-154177719References: Upstream kernel [NistCWE(cwe='CWE-125')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:C/I:C/A:C', score=7.2) NistCVSS3(cvss='AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H', score=6.7) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 webkit2gtk This issue was addressed with improved iframe sandbox enforcement. This issue is fixed in macOS Big Sur 11.2, Security Update 2021-001 Catalina, Security Update 2021-001 Mojave. Maliciously crafted web content may violate iframe sandboxing policy. [] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N', score=6.5) 1. Удалить ПО webkit2gtk, если оно не используется и не является зависимостью других используемых пакетов 2. Запускать приложения, использующие ПО webkit2gtk, в изолированной программной среде с применением инструмента Firejail 3. Выполнить безопасную настройку webkit2gtk: - При использовании ПО webkit2gtk производить обработку веб-контента только из доверенных источников - Включить и настроить межсетевой экран ufw для фильтрации трафика - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Отключить и удалить неиспользуемые учётные записи пользователей - Включить мандатный контроль целостности (МКЦ) - Включить режим замкнутой программной среды - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 webkit2gtk A use after free issue was addressed with improved memory management. This issue is fixed in macOS Big Sur 11.2, Security Update 2021-001 Catalina, Security Update 2021-001 Mojave, tvOS 14.4, watchOS 7.3, iOS 14.4 and iPadOS 14.4, Safari 14.0.3. Processing maliciously crafted web content may lead to arbitrary code execution. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО webkit2gtk, если оно не используется и не является зависимостью других используемых пакетов 2. Запускать приложения, использующие ПО webkit2gtk, в изолированной программной среде с применением инструмента Firejail 3. Выполнить безопасную настройку webkit2gtk: - При использовании ПО webkit2gtk производить обработку веб-контента только из доверенных источников - Включить и настроить межсетевой экран ufw для фильтрации трафика - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Отключить и удалить неиспользуемые учётные записи пользователей - Включить мандатный контроль целостности (МКЦ) - Включить режим замкнутой программной среды - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 webkit2gtk A type confusion issue was addressed with improved state handling. This issue is fixed in macOS Big Sur 11.2, Security Update 2021-001 Catalina, Security Update 2021-001 Mojave, tvOS 14.4, watchOS 7.3, iOS 14.4 and iPadOS 14.4, Safari 14.0.3. Processing maliciously crafted web content may lead to arbitrary code execution. [NistCWE(cwe='CWE-843'), NistCWE(cwe='CWE-843')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО webkit2gtk, если оно не используется и не является зависимостью других используемых пакетов 2. Запускать приложения, использующие ПО webkit2gtk, в изолированной программной среде с применением инструмента Firejail 3. Выполнить безопасную настройку webkit2gtk: - При использовании ПО webkit2gtk производить обработку веб-контента только из доверенных источников - Включить и настроить межсетевой экран ufw для фильтрации трафика - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Отключить и удалить неиспользуемые учётные записи пользователей - Включить мандатный контроль целостности (МКЦ) - Включить режим замкнутой программной среды - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 webkit2gtk A port redirection issue was addressed with additional port validation. This issue is fixed in macOS Big Sur 11.2, Security Update 2021-001 Catalina, Security Update 2021-001 Mojave, tvOS 14.4, watchOS 7.3, iOS 14.4 and iPadOS 14.4, Safari 14.0.3. A malicious website may be able to access restricted ports on arbitrary servers. [] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N', score=6.5) 1. Удалить ПО webkit2gtk, если оно не используется и не является зависимостью других используемых пакетов 2. Запускать приложения, использующие ПО webkit2gtk, в изолированной программной среде с применением инструмента Firejail 3. Выполнить безопасную настройку webkit2gtk: - При использовании ПО webkit2gtk производить обработку веб-контента только из доверенных источников - Включить и настроить межсетевой экран ufw для фильтрации трафика - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Отключить и удалить неиспользуемые учётные записи пользователей - Включить мандатный контроль целостности (МКЦ) - Включить режим замкнутой программной среды - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 webkit2gtk This issue was addressed with improved iframe sandbox enforcement. This issue is fixed in macOS Big Sur 11.2, Security Update 2021-001 Catalina, Security Update 2021-001 Mojave, watchOS 7.3, tvOS 14.4, iOS 14.4 and iPadOS 14.4. Maliciously crafted web content may violate iframe sandboxing policy. [] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N', score=6.5) 1. Удалить ПО webkit2gtk, если оно не используется и не является зависимостью других используемых пакетов 2. Запускать приложения, использующие ПО webkit2gtk, в изолированной программной среде с применением инструмента Firejail 3. Выполнить безопасную настройку webkit2gtk: - При использовании ПО webkit2gtk производить обработку веб-контента только из доверенных источников - Включить и настроить межсетевой экран ufw для фильтрации трафика - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Отключить и удалить неиспользуемые учётные записи пользователей - Включить мандатный контроль целостности (МКЦ) - Включить режим замкнутой программной среды - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 webkit2gtk A memory corruption issue was addressed with improved validation. This issue is fixed in iOS 14.4.1 and iPadOS 14.4.1, Safari 14.0.3 (v. 14610.4.3.1.7 and 15610.4.3.1.7), watchOS 7.3.2, macOS Big Sur 11.2.3. Processing maliciously crafted web content may lead to arbitrary code execution. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО webkit2gtk, если оно не используется и не является зависимостью других используемых пакетов 2. Запускать приложения, использующие ПО webkit2gtk, в изолированной программной среде с применением инструмента Firejail 3. Выполнить безопасную настройку webkit2gtk: - При использовании ПО webkit2gtk производить обработку веб-контента только из доверенных источников - Включить и настроить межсетевой экран ufw для фильтрации трафика - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Отключить и удалить неиспользуемые учётные записи пользователей - Включить мандатный контроль целостности (МКЦ) - Включить режим замкнутой программной среды - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 webkit2gtk A logic issue was addressed with improved restrictions. This issue is fixed in macOS Big Sur 11.2, Security Update 2021-001 Catalina, Security Update 2021-001 Mojave, iOS 14.4 and iPadOS 14.4. A remote attacker may be able to cause arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited.. [] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:P/A:P', score=7.5) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) 1. Удалить ПО webkit2gtk, если оно не используется и не является зависимостью других используемых пакетов 2. Запускать приложения, использующие ПО webkit2gtk, в изолированной программной среде с применением инструмента Firejail 3. Выполнить безопасную настройку webkit2gtk: - При использовании ПО webkit2gtk производить обработку веб-контента только из доверенных источников - Включить и настроить межсетевой экран ufw для фильтрации трафика - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Отключить и удалить неиспользуемые учётные записи пользователей - Включить мандатный контроль целостности (МКЦ) - Включить режим замкнутой программной среды - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 webkit2gtk A logic issue was addressed with improved restrictions. This issue is fixed in macOS Big Sur 11.2, Security Update 2021-001 Catalina, Security Update 2021-001 Mojave, iOS 14.4 and iPadOS 14.4. A remote attacker may be able to cause arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited.. [] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:P/A:P', score=7.5) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) 1. Удалить ПО webkit2gtk, если оно не используется и не является зависимостью других используемых пакетов 2. Запускать приложения, использующие ПО webkit2gtk, в изолированной программной среде с применением инструмента Firejail 3. Выполнить безопасную настройку webkit2gtk: - При использовании ПО webkit2gtk производить обработку веб-контента только из доверенных источников - Включить и настроить межсетевой экран ufw для фильтрации трафика - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Отключить и удалить неиспользуемые учётные записи пользователей - Включить мандатный контроль целостности (МКЦ) - Включить режим замкнутой программной среды - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 linux A flaw was found in the Linux kernel's implementation of string matching within a packet. A privileged user (with root or CAP_NET_ADMIN) when inserting iptables rules could insert a rule which can panic the system. Kernel before kernel 5.5-rc1 is affected. [NistCWE(cwe='CWE-125')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:N/I:N/A:P', score=2.1) NistCVSS3(cvss='AV:L/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H', score=4.4) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 grub2 A flaw was found in grub2 in versions prior to 2.06. The option parser allows an attacker to write past the end of a heap-allocated buffer by calling certain commands with a large number of specific short forms of options. The highest threat from this vulnerability is to data confidentiality and integrity as well as system availability. [NistCWE(cwe='CWE-787'), NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:C/I:C/A:C', score=7.2) NistCVSS3(cvss='AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H', score=6.7) - Установить "взломостойкий" пароль на загрузчик Grub - Обеспечить возможность запуска grub2 только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 ansible A flaw was found in the Ansible Engine 2.9.18, where sensitive info is not masked by default and is not protected by the no_log feature when using the sub-option feature of the basic.py module. This flaw allows an attacker to obtain sensitive information. The highest threat from this vulnerability is to confidentiality. [NistCWE(cwe='CWE-200'), NistCWE(cwe='CWE-200')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:N/A:N', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N', score=7.5) - Обеспечить возможность запуска ansible только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Обеспечить применение ПО ansible только на выделенном уровне целостности Astra Linux 1.7 gnutls28 A flaw was found in gnutls. A use after free issue in client sending key_share extension may lead to memory corruption and other consequences. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:P/A:P', score=7.5) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) - Включить защиту файловой системы ("установить МКЦ на ФС") - Запретить установку бита исполнения для каталогов с сертификатами и ключами, включая права администраторов. - Активировать режим замкнутой программной среды. - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности. - Для непривилегированных пользователей активировать режим Киоск-2. - Ограничить редактирование файлов /etc/gnutls/ и переменных окружения GNUTLS_PRIORITY исключительно группой root. Astra Linux 1.7 gnutls28 A flaw was found in gnutls. A use after free issue in client_send_params in lib/ext/pre_shared_key.c may lead to memory corruption and other potential consequences. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:P/A:P', score=7.5) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) - Включить защиту файловой системы ("установить МКЦ на ФС") - Запретить установку бита исполнения для каталогов с сертификатами и ключами, включая права администраторов. - Активировать режим замкнутой программной среды. - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности. - Для непривилегированных пользователей активировать режим Киоск-2. - Ограничить редактирование файлов /etc/gnutls/ и переменных окружения GNUTLS_PRIORITY исключительно группой root. Astra Linux 1.7 grub2 A flaw was found in grub2 in versions prior to 2.06. Setparam_prefix() in the menu rendering code performs a length calculation on the assumption that expressing a quoted single quote will require 3 characters, while it actually requires 4 characters which allows an attacker to corrupt memory by one byte for each quote in the input. The highest threat from this vulnerability is to data confidentiality and integrity as well as system availability. [NistCWE(cwe='CWE-787'), NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:C/I:C/A:C', score=7.2) NistCVSS3(cvss='AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H', score=8.2) - Установить "взломостойкий" пароль на загрузчик Grub - Обеспечить возможность запуска grub2 только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 linux A flaw was found in the Linux kernel in versions before 5.4.92 in the BPF protocol. This flaw allows an attacker with a local account to leak information about kernel internal addresses. The highest threat from this vulnerability is to confidentiality. [NistCWE(cwe='CWE-822'), NistCWE(cwe='CWE-119')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:P/I:N/A:N', score=2.1) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N', score=3.3) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 pygments An infinite loop in SMLLexer in Pygments versions 1.5 to 2.7.3 may lead to denial of service when performing syntax highlighting of a Standard ML (SML) source file, as demonstrated by input that only contains the "exception" keyword. [NistCWE(cwe='CWE-835'), NistCWE(cwe='CWE-835')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) Astra Linux 1.7 ceph An authentication flaw was found in ceph in versions before 14.2.20. When the monitor handles CEPHX_GET_AUTH_SESSION_KEY requests, it doesn't sanitize other_keys, allowing key reuse. An attacker who can request a global_id can exploit the ability of any user to request a global_id previously associated with another user, as ceph does not force the reuse of old keys to generate new ones. The highest threat from this vulnerability is to data confidentiality and integrity as well as system availability. [NistCWE(cwe='CWE-287'), NistCWE(cwe='CWE-287')] NistCVSS2(cvss='AV:N/AC:L/Au:S/C:P/I:P/A:P', score=6.5) NistCVSS3(cvss='AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H', score=7.2) - Используя брандмауэр, ограничьте все входящие соединения, кроме необходимых для Ceph и администрирования - Используйте аутентификацию по SSH-ключам - Ограничьте пользователей, которые могут подключаться через SSH - Включите шифрование трафика между клиентами и серверами - Включите Cephx - Установите строгие права доступа на файлы с ключами Ceph - Создавайте пользователей Ceph с минимально необходимыми правами Astra Linux 1.7 nettle A flaw was found in Nettle in versions before 3.7.2, where several Nettle signature verification functions (GOST DSA, EDDSA & ECDSA) result in the Elliptic Curve Cryptography point (ECC) multiply function being called with out-of-range scalers, possibly resulting in incorrect results. This flaw allows an attacker to force an invalid signature, causing an assertion failure or possible validation. The highest threat to this vulnerability is to confidentiality, integrity, as well as system availability. [NistCWE(cwe='CWE-327'), NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H', score=8.1) Astra Linux 1.7 htmldoc Integer overflow in the htmldoc 1.9.11 and before may allow attackers to execute arbitrary code and cause a denial of service that is similar to CVE-2017-9181. [NistCWE(cwe='CWE-190')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:P/A:P', score=7.5) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) Astra Linux 1.7 chromium Use after free in autofill in Google Chrome prior to 87.0.4280.141 allowed a remote attacker who had compromised the renderer process to potentially perform a sandbox escape via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:C/I:C/A:C', score=9.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H', score=9.6) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in drag and drop in Google Chrome on Linux prior to 87.0.4280.141 allowed a remote attacker who had compromised the renderer process to potentially perform a sandbox escape via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H', score=9.6) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in media in Google Chrome prior to 87.0.4280.141 allowed a remote attacker who had compromised the renderer process to potentially perform a sandbox escape via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H', score=9.6) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in payments in Google Chrome prior to 87.0.4280.141 allowed a remote attacker who had compromised the renderer process to potentially perform a sandbox escape via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H', score=9.6) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in safe browsing in Google Chrome prior to 87.0.4280.141 allowed a remote attacker to potentially perform a sandbox escape via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H', score=9.6) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Insufficient policy enforcement in WebUI in Google Chrome prior to 87.0.4280.141 allowed an attacker who convinced a user to install a malicious extension to potentially perform a sandbox escape via a crafted Chrome Extension. [NistCWE(cwe='CWE-1021')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H', score=9.6) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in Blink in Google Chrome prior to 87.0.4280.141 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Heap buffer overflow in Skia in Google Chrome prior to 87.0.4280.141 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in audio in Google Chrome prior to 87.0.4280.141 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium User after free in safe browsing in Google Chrome prior to 87.0.4280.141 allowed a remote attacker who had compromised the renderer process to potentially perform a sandbox escape via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H', score=9.6) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Heap buffer overflow in audio in Google Chrome prior to 87.0.4280.141 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Insufficient policy enforcement in Cryptohome in Google Chrome prior to 88.0.4324.96 allowed a local attacker to perform OS-level privilege escalation via a crafted file. [NistCWE(cwe='CWE-59')] NistCVSS2(cvss='AV:L/AC:M/Au:N/C:C/I:C/A:C', score=6.9) NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=7.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Insufficient data validation in V8 in Google Chrome prior to 88.0.4324.96 allowed a remote attacker to potentially perform out of bounds memory access via a crafted HTML page. [NistCWE(cwe='CWE-119')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in Media in Google Chrome prior to 88.0.4324.96 allowed a remote attacker who had compromised the renderer process to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in WebSQL in Google Chrome prior to 88.0.4324.96 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in Omnibox in Google Chrome on Linux prior to 88.0.4324.96 allowed a remote attacker to potentially perform a sandbox escape via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H', score=9.6) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in Blink in Google Chrome prior to 88.0.4324.96 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Insufficient data validation in File System API in Google Chrome prior to 88.0.4324.96 allowed a remote attacker to bypass filesystem restrictions via a crafted HTML page. [NistCWE(cwe='CWE-20')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N', score=6.5) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Potential user after free in Speech Recognizer in Google Chrome on Android prior to 88.0.4324.96 allowed a remote attacker to potentially perform a sandbox escape via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H', score=9.6) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Insufficient policy enforcement in File System API in Google Chrome on Windows prior to 88.0.4324.96 allowed a remote attacker to bypass filesystem restrictions via a crafted HTML page. [NistCWE(cwe='CWE-59')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:N', score=5.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N', score=8.1) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Insufficient policy enforcement in extensions in Google Chrome prior to 88.0.4324.96 allowed a remote attacker to bypass site isolation via a crafted Chrome Extension. [NistCWE(cwe='CWE-20')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:N/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N', score=6.5) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Insufficient policy enforcement in extensions in Google Chrome prior to 88.0.4324.96 allowed a remote attacker to bypass content security policy via a crafted Chrome Extension. [] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Heap buffer overflow in Blink in Google Chrome prior to 88.0.4324.96 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Insufficient policy enforcement in File System API in Google Chrome prior to 88.0.4324.96 allowed a remote attacker to bypass filesystem restrictions via a crafted HTML page. [] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N', score=6.5) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Insufficient policy enforcement in File System API in Google Chrome prior to 88.0.4324.96 allowed a remote attacker to bypass filesystem restrictions via a crafted HTML page. [] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N', score=6.5) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Insufficient policy enforcement in File System API in Google Chrome prior to 88.0.4324.96 allowed a remote attacker to bypass filesystem restrictions via a crafted HTML page. [NistCWE(cwe='CWE-59')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N', score=6.5) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Inappropriate implementation in DevTools in Google Chrome prior to 88.0.4324.96 allowed a remote attacker to potentially perform a sandbox escape via a crafted Chrome Extension. [NistCWE(cwe='CWE-1021')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H', score=9.6) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Insufficient policy enforcement in Downloads in Google Chrome prior to 88.0.4324.96 allowed an attacker who convinced a user to download files to bypass navigation restrictions via a crafted HTML page. [] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:N/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N', score=6.5) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Incorrect security UI in Page Info in Google Chrome on iOS prior to 88.0.4324.96 allowed a remote attacker to spoof security UI via a crafted HTML page. [NistCWE(cwe='CWE-290')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N', score=6.5) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Inappropriate implementation in Performance API in Google Chrome prior to 88.0.4324.96 allowed a remote attacker to leak cross-origin data via a crafted HTML page. [NistCWE(cwe='CWE-346')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:N/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N', score=6.5) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Insufficient policy enforcement in WebView in Google Chrome on Android prior to 88.0.4324.96 allowed a remote attacker to leak cross-origin data via a crafted HTML page. [NistCWE(cwe='CWE-346')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:N/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N', score=6.5) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Inappropriate implementation in DevTools in Google Chrome prior to 88.0.4324.96 allowed a remote attacker to obtain potentially sensitive information from disk via a crafted HTML page. [NistCWE(cwe='CWE-74')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:N/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N', score=6.5) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in DevTools in Google Chrome prior to 88.0.4324.96 allowed a local attacker to potentially perform a sandbox escape via a crafted file. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H', score=8.6) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Inappropriate implementation in iframe sandbox in Google Chrome prior to 88.0.4324.96 allowed a remote attacker to bypass navigation restrictions via a crafted HTML page. [NistCWE(cwe='CWE-1021')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N', score=6.5) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Uninitialized use in USB in Google Chrome prior to 88.0.4324.96 allowed a local attacker to potentially perform out of bounds memory access via via a USB device. [NistCWE(cwe='CWE-119')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:P/I:P/A:P', score=4.6) NistCVSS3(cvss='AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=6.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Insufficient policy enforcement in File System API in Google Chrome prior to 88.0.4324.96 allowed a remote attacker to bypass file extension policy via a crafted HTML page. [NistCWE(cwe='CWE-74')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N', score=6.5) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in Payments in Google Chrome on Mac prior to 88.0.4324.146 allowed a remote attacker to potentially perform a sandbox escape via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H', score=9.6) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Heap buffer overflow in Extensions in Google Chrome prior to 88.0.4324.146 allowed an attacker who convinced a user to install a malicious extension to potentially exploit heap corruption via a crafted Chrome Extension. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Heap buffer overflow in Tab Groups in Google Chrome prior to 88.0.4324.146 allowed an attacker who convinced a user to install a malicious extension to potentially exploit heap corruption via a crafted Chrome Extension. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in Fonts in Google Chrome prior to 88.0.4324.146 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in Navigation in Google Chrome prior to 88.0.4324.146 allowed a remote attacker who had compromised the renderer process to potentially perform a sandbox escape via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H', score=9.6) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Inappropriate implementation in Skia in Google Chrome prior to 88.0.4324.146 allowed a local attacker to spoof the contents of the Omnibox (URL bar) via a crafted HTML page. [] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N', score=4.3) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Heap buffer overflow in V8 in Google Chrome prior to 88.0.4324.150 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-787'), NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Stack buffer overflow in Data Transfer in Google Chrome on Linux prior to 88.0.4324.182 allowed a remote attacker to perform out of bounds memory access via a crafted HTML page. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in Downloads in Google Chrome on Windows prior to 88.0.4324.182 allowed a remote attacker who had compromised the renderer process to potentially perform a sandbox escape via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H', score=9.6) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in Payments in Google Chrome prior to 88.0.4324.182 allowed a remote attacker to potentially perform a sandbox escape via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H', score=9.6) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Heap buffer overflow in Media in Google Chrome on Linux prior to 88.0.4324.182 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Stack buffer overflow in GPU Process in Google Chrome on Linux prior to 88.0.4324.182 allowed a remote attacker to potentially perform out of bounds memory access via a crafted HTML page. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Heap buffer overflow in Tab Strip in Google Chrome prior to 88.0.4324.182 allowed a remote attacker who had compromised the renderer process to potentially perform a sandbox escape via a crafted HTML page. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H', score=9.6) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Heap buffer overflow in Tab Strip in Google Chrome on Windows prior to 88.0.4324.182 allowed a remote attacker who had compromised the renderer process to potentially perform a sandbox escape via a crafted HTML page. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H', score=9.6) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Heap buffer overflow in V8 in Google Chrome prior to 88.0.4324.182 allowed a remote attacker to potentially exploit heap corruption via a crafted script. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in Web Sockets in Google Chrome on Linux prior to 88.0.4324.182 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Heap buffer overflow in TabStrip in Google Chrome prior to 89.0.4389.72 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Heap buffer overflow in WebAudio in Google Chrome prior to 89.0.4389.72 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Heap buffer overflow in TabStrip in Google Chrome prior to 89.0.4389.72 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in WebRTC in Google Chrome prior to 89.0.4389.72 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Insufficient data validation in Reader Mode in Google Chrome on iOS prior to 89.0.4389.72 allowed a remote attacker to leak cross-origin data via a crafted HTML page and a malicious server. [NistCWE(cwe='CWE-346')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:N/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N', score=6.5) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Insufficient data validation in Chrome on iOS in Google Chrome on iOS prior to 89.0.4389.72 allowed a remote attacker to leak cross-origin data via a crafted HTML page. [NistCWE(cwe='CWE-346')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:N/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N', score=6.5) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Data race in audio in Google Chrome prior to 89.0.4389.72 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-362')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Data race in audio in Google Chrome prior to 89.0.4389.72 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-362'), NistCWE(cwe='CWE-362')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in bookmarks in Google Chrome prior to 89.0.4389.72 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Insufficient policy enforcement in appcache in Google Chrome prior to 89.0.4389.72 allowed a remote attacker to obtain potentially sensitive information from process memory via a crafted HTML page. [] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:N/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N', score=6.5) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Out of bounds memory access in V8 in Google Chrome prior to 89.0.4389.72 allowed a remote attacker to potentially perform out of bounds memory access via a crafted HTML page. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Incorrect security UI in Loader in Google Chrome prior to 89.0.4389.72 allowed a remote attacker who had compromised the renderer process to spoof the contents of the Omnibox (URL bar) via a crafted HTML page. [] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N', score=6.5) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Incorrect security UI in TabStrip and Navigation in Google Chrome on Android prior to 89.0.4389.72 allowed a remote attacker to spoof the contents of the Omnibox (URL bar) via a crafted HTML page. [] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N', score=6.5) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Insufficient policy enforcement in File System API in Google Chrome on Windows prior to 89.0.4389.72 allowed a remote attacker to bypass filesystem restrictions via a crafted HTML page. [] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:N', score=5.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N', score=8.1) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Side-channel information leakage in Network Internals in Google Chrome prior to 89.0.4389.72 allowed a remote attacker to leak cross-origin data via a crafted HTML page. [NistCWE(cwe='CWE-203')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:N/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N', score=6.5) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Inappropriate implementation in Referrer in Google Chrome prior to 89.0.4389.72 allowed a remote attacker to bypass navigation restrictions via a crafted HTML page. [] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Inappropriate implementation in Site isolation in Google Chrome prior to 89.0.4389.72 allowed a remote attacker to leak cross-origin data via a crafted HTML page. [NistCWE(cwe='CWE-346')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:N/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N', score=6.5) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Inappropriate implementation in full screen mode in Google Chrome prior to 89.0.4389.72 allowed a remote attacker to spoof the contents of the Omnibox (URL bar) via a crafted HTML page. [] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N', score=6.5) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Insufficient policy enforcement in Autofill in Google Chrome prior to 89.0.4389.72 allowed a remote attacker to obtain potentially sensitive information from process memory via a crafted HTML page. [NistCWE(cwe='CWE-732')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:N/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N', score=6.5) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Inappropriate implementation in Compositing in Google Chrome on Linux and Windows prior to 89.0.4389.72 allowed a remote attacker to spoof the contents of the Omnibox (URL bar) via a crafted HTML page. [] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N', score=6.5) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in Network Internals in Google Chrome on Linux prior to 89.0.4389.72 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in tab search in Google Chrome prior to 89.0.4389.72 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Side-channel information leakage in autofill in Google Chrome prior to 89.0.4389.72 allowed a remote attacker to obtain potentially sensitive information from process memory via a crafted HTML page. [NistCWE(cwe='CWE-203')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:N/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N', score=6.5) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Insufficient policy enforcement in navigations in Google Chrome prior to 89.0.4389.72 allowed a remote attacker who had compromised the renderer process to bypass navigation restrictions via a crafted HTML page. [NistCWE(cwe='CWE-863')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N', score=6.5) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Inappropriate implementation in performance APIs in Google Chrome prior to 89.0.4389.72 allowed a remote attacker to leak cross-origin data via a crafted HTML page. [NistCWE(cwe='CWE-346')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:N/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N', score=4.3) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Inappropriate implementation in performance APIs in Google Chrome prior to 89.0.4389.72 allowed a remote attacker to leak cross-origin data via a crafted HTML page. [NistCWE(cwe='CWE-346')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:N/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N', score=4.3) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Insufficient policy enforcement in extensions in Google Chrome prior to 89.0.4389.72 allowed an attacker who convinced a user to install a malicious extension to obtain sensitive information via a crafted Chrome Extension. [] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:N/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N', score=4.3) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Insufficient policy enforcement in QR scanning in Google Chrome on iOS prior to 89.0.4389.72 allowed an attacker who convinced the user to scan a QR code to bypass navigation restrictions via a crafted QR code. [NistCWE(cwe='CWE-863')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N', score=4.3) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Insufficient data validation in URL formatting in Google Chrome prior to 89.0.4389.72 allowed a remote attacker to perform domain spoofing via IDN homographs via a crafted domain name. [] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N', score=4.3) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in Blink in Google Chrome prior to 89.0.4389.72 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Insufficient policy enforcement in payments in Google Chrome prior to 89.0.4389.72 allowed a remote attacker to bypass navigation restrictions via a crafted HTML page. [] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N', score=4.3) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Uninitialized data in PDFium in Google Chrome prior to 89.0.4389.72 allowed a remote attacker to obtain potentially sensitive information from process memory via a crafted PDF file. [NistCWE(cwe='CWE-908')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in WebRTC in Google Chrome prior to 89.0.4389.90 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Heap buffer overflow in tab groups in Google Chrome prior to 89.0.4389.90 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in Blink in Google Chrome prior to 89.0.4389.90 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in screen sharing in Google Chrome prior to 89.0.4389.114 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in V8 in Google Chrome prior to 89.0.4389.114 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Heap buffer overflow in TabStrip in Google Chrome on Windows prior to 89.0.4389.114 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Heap buffer overflow in TabStrip in Google Chrome prior to 89.0.4389.114 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Out of bounds read in IPC in Google Chrome prior to 89.0.4389.114 allowed a remote attacker who had compromised the renderer process to potentially perform a sandbox escape via a crafted HTML page. [NistCWE(cwe='CWE-125')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:N/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:N', score=7.4) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in Aura in Google Chrome on Linux prior to 89.0.4389.114 allowed a remote attacker who had compromised the renderer process to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Out of bounds read in WebUI Settings in Google Chrome prior to 89.0.4389.72 allowed a remote attacker to perform an out of bounds memory read via a crafted HTML page. (Chrome security severity: Low) [NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:L', score=5.4) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in permissions in Google Chrome prior to 90.0.4430.72 allowed a remote attacker who had compromised the renderer process to potentially perform a sandbox escape via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H', score=9.6) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in extensions in Google Chrome prior to 90.0.4430.72 allowed an attacker who convinced a user to install a malicious extension to potentially perform a sandbox escape via a crafted Chrome Extension. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H', score=8.6) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in Blink in Google Chrome prior to 90.0.4430.72 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in Blink in Google Chrome on OS X prior to 90.0.4430.72 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Insufficient policy enforcement in navigation in Google Chrome on iOS prior to 90.0.4430.72 allowed a remote attacker to bypass navigation restrictions via a crafted HTML page. [] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:N', score=5.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N', score=8.1) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in Blink in Google Chrome prior to 89.0.4389.128 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in IndexedDB in Google Chrome prior to 90.0.4430.72 allowed an attacker who convinced a user to install a malicious extension to potentially perform a sandbox escape via a crafted Chrome Extension. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H', score=8.6) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Insufficient data validation in QR scanner in Google Chrome on iOS prior to 90.0.4430.72 allowed an attacker displaying a QR code to perform domain spoofing via a crafted QR code. [NistCWE(cwe='CWE-20')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N', score=6.5) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Inappropriate implementation in storage in Google Chrome prior to 90.0.4430.72 allowed a remote attacker to leak cross-origin data via a crafted HTML page. [NistCWE(cwe='CWE-346')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:N/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N', score=6.5) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Inappropriate implementation in Network in Google Chrome prior to 90.0.4430.72 allowed a remote attacker to potentially access local UDP ports via a crafted HTML page. [] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N', score=6.5) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Inappropriate implementation in Navigation in Google Chrome on iOS prior to 90.0.4430.72 allowed a remote attacker to leak cross-origin data via a crafted HTML page. [NistCWE(cwe='CWE-346')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:N/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N', score=6.5) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Incorrect security UI in Network Config UI in Google Chrome on ChromeOS prior to 90.0.4430.72 allowed a remote attacker to potentially compromise WiFi connection security via a malicious WAP. [] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N', score=6.5) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in WebMIDI in Google Chrome prior to 90.0.4430.72 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in Network API in Google Chrome prior to 90.0.4430.72 allowed a remote attacker to potentially exploit heap corruption via a crafted Chrome Extension. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Inappropriate implementation in Autofill in Google Chrome prior to 90.0.4430.72 allowed a remote attacker to spoof security UI via a crafted HTML page. [NistCWE(cwe='CWE-290')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N', score=6.5) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Inappropriate implementation in Autofill in Google Chrome prior to 90.0.4430.72 allowed a remote attacker to spoof security UI via a crafted HTML page. [NistCWE(cwe='CWE-290')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N', score=6.5) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Uninitialized data in PDFium in Google Chrome prior to 90.0.4430.72 allowed a remote attacker to obtain potentially sensitive information from process memory via a crafted PDF file. [NistCWE(cwe='CWE-252')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:N/A:N', score=4.3) NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N', score=5.5) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Uninitialized data in PDFium in Google Chrome prior to 90.0.4430.72 allowed a remote attacker to obtain potentially sensitive information from process memory via a crafted PDF file. [NistCWE(cwe='CWE-908')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:N/A:N', score=4.3) NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N', score=5.5) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Uninitialized data in PDFium in Google Chrome prior to 90.0.4430.72 allowed a remote attacker to obtain potentially sensitive information from process memory via a crafted PDF file. [NistCWE(cwe='CWE-252')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:N/A:N', score=4.3) NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N', score=5.5) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Insufficient validation of untrusted input in V8 in Google Chrome prior to 89.0.4389.128 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-787'), NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Insufficient validation of untrusted input in Mojo in Google Chrome prior to 90.0.4430.72 allowed a remote attacker who had compromised the renderer process to leak cross-origin data via a crafted HTML page. [NistCWE(cwe='CWE-20')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:N/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N', score=6.5) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Heap buffer overflow in V8 in Google Chrome prior to 90.0.4430.85 allowed a remote attacker who had compromised the renderer process to bypass site isolation via a crafted HTML page. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:N/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N', score=6.5) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Integer overflow in Mojo in Google Chrome prior to 90.0.4430.85 allowed a remote attacker who had compromised the renderer process to potentially perform a sandbox escape via a crafted HTML page. [NistCWE(cwe='CWE-190')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H', score=9.6) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Type confusion in V8 in Google Chrome prior to 90.0.4430.85 allowed a remote attacker to execute arbitrary code inside a sandbox via a crafted HTML page. [NistCWE(cwe='CWE-843'), NistCWE(cwe='CWE-843')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Out of bounds memory access in V8 in Google Chrome prior to 90.0.4430.85 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in navigation in Google Chrome prior to 90.0.4430.85 allowed a remote attacker who had compromised the renderer process to potentially perform a sandbox escape via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H', score=9.6) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Insufficient data validation in V8 in Google Chrome prior to 90.0.4430.93 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Insufficient policy enforcement in extensions in Google Chrome prior to 90.0.4430.93 allowed an attacker who convinced a user to install a malicious extension to bypass navigation restrictions via a crafted Chrome Extension. [NistCWE(cwe='CWE-863')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N', score=4.3) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Incorrect security UI in downloads in Google Chrome on Android prior to 90.0.4430.93 allowed a remote attacker to perform domain spoofing via a crafted HTML page. [NistCWE(cwe='CWE-346')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N', score=6.5) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Type confusion in V8 in Google Chrome prior to 90.0.4430.93 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-843')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Insufficient data validation in V8 in Google Chrome prior to 90.0.4430.93 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Heap buffer overflow in ANGLE in Google Chrome on Windows prior to 90.0.4430.93 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 netty Netty is an open-source, asynchronous event-driven network application framework for rapid development of maintainable high performance protocol servers & clients. In Netty before version 4.1.59.Final there is a vulnerability on Unix-like systems involving an insecure temp file. When netty's multipart decoders are used local information disclosure can occur via the local system temporary directory if temporary storing uploads on the disk is enabled. On unix-like systems, the temporary directory is shared between all user. As such, writing to this directory using APIs that do not explicitly set the file/directory permissions can lead to information disclosure. Of note, this does not impact modern MacOS Operating Systems. The method "File.createTempFile" on unix-like systems creates a random file, but, by default will create this file with the permissions "-rw-r--r--". Thus, if sensitive information is written to this file, other local users can read this information. This is the case in netty's "AbstractDiskHttpData" is vulnerable. This has been fixed in version 4.1.59.Final. As a workaround, one may specify your own "java.io.tmpdir" when you start the JVM or use "DefaultHttpDataFactory.setBaseDir(...)" to set the directory to something that is only readable by the current user. [NistCWE(cwe='CWE-378'), NistCWE(cwe='CWE-668')] NistCVSS2(cvss='AV:L/AC:M/Au:N/C:P/I:N/A:N', score=1.9) NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N', score=6.2) Astra Linux 1.7 netty Netty is an open-source, asynchronous event-driven network application framework for rapid development of maintainable high performance protocol servers & clients. In Netty (io.netty:netty-codec-http2) before version 4.1.60.Final there is a vulnerability that enables request smuggling. If a Content-Length header is present in the original HTTP/2 request, the field is not validated by `Http2MultiplexHandler` as it is propagated up. This is fine as long as the request is not proxied through as HTTP/1.1. If the request comes in as an HTTP/2 stream, gets converted into the HTTP/1.1 domain objects (`HttpRequest`, `HttpContent`, etc.) via `Http2StreamFrameToHttpObjectCodec `and then sent up to the child channel's pipeline and proxied through a remote peer as HTTP/1.1 this may result in request smuggling. In a proxy case, users may assume the content-length is validated somehow, which is not the case. If the request is forwarded to a backend channel that is a HTTP/1.1 connection, the Content-Length now has meaning and needs to be checked. An attacker can smuggle requests inside the body as it gets downgraded from HTTP/2 to HTTP/1.1. For an example attack refer to the linked GitHub Advisory. Users are only affected if all of this is true: `HTTP2MultiplexCodec` or `Http2FrameCodec` is used, `Http2StreamFrameToHttpObjectCodec` is used to convert to HTTP/1.1 objects, and these HTTP/1.1 objects are forwarded to another remote peer. This has been patched in 4.1.60.Final As a workaround, the user can do the validation by themselves by implementing a custom `ChannelInboundHandler` that is put in the `ChannelPipeline` behind `Http2StreamFrameToHttpObjectCodec`. [NistCWE(cwe='CWE-444'), NistCWE(cwe='CWE-444')] NistCVSS2(cvss='AV:N/AC:H/Au:N/C:N/I:P/A:N', score=2.6) NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N', score=5.9) Astra Linux 1.7 git Git is an open-source distributed revision control system. In affected versions of Git a specially crafted repository that contains symbolic links as well as files using a clean/smudge filter such as Git LFS, may cause just-checked out script to be executed while cloning onto a case-insensitive file system such as NTFS, HFS+ or APFS (i.e. the default file systems on Windows and macOS). Note that clean/smudge filters have to be configured for that. Git for Windows configures Git LFS by default, and is therefore vulnerable. The problem has been patched in the versions published on Tuesday, March 9th, 2021. As a workaound, if symbolic link support is disabled in Git (e.g. via `git config --global core.symlinks false`), the described attack won't work. Likewise, if no clean/smudge filters such as Git LFS are configured globally (i.e. _before_ cloning), the attack is foiled. As always, it is best to avoid cloning repositories from untrusted sources. The earliest impacted version is 2.14.2. The fix versions are: 2.30.1, 2.29.3, 2.28.1, 2.27.1, 2.26.3, 2.25.5, 2.24.4, 2.23.4, 2.22.5, 2.21.4, 2.20.5, 2.19.6, 2.18.5, 2.17.62.17.6. [NistCWE(cwe='CWE-59'), NistCWE(cwe='CWE-59')] NistCVSS2(cvss='AV:N/AC:H/Au:N/C:P/I:P/A:P', score=5.1) NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:N', score=8.0) - Удалить библиотеку golang-github-dvsekhvalnov-jose2go, если она не используется и не является зависимостью других пакетов - Запускать ПО, использующее библиотеку golang-github-dvsekhvalnov-jose2go, в изолированной программной среде с применением инструмента Firejail - Использовать ПО, использующее библиотеку golang-github-dvsekhvalnov-jose2go, только на низком или отдельно выделенном уровне целостности - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Включить режим замкнутой программной среды Astra Linux 1.7 flatpak Flatpak is a system for building, distributing, and running sandboxed desktop applications on Linux. In Flatpack since version 0.9.4 and before version 1.10.2 has a vulnerability in the "file forwarding" feature which can be used by an attacker to gain access to files that would not ordinarily be allowed by the app's permissions. By putting the special tokens `@@` and/or `@@u` in the Exec field of a Flatpak app's .desktop file, a malicious app publisher can trick flatpak into behaving as though the user had chosen to open a target file with their Flatpak app, which automatically makes that file available to the Flatpak app. This is fixed in version 1.10.2. A minimal solution is the first commit "`Disallow @@ and @@U usage in desktop files`". The follow-up commits "`dir: Reserve the whole @@ prefix`" and "`dir: Refuse to export .desktop files with suspicious uses of @@ tokens`" are recommended, but not strictly required. As a workaround, avoid installing Flatpak apps from untrusted sources, or check the contents of the exported `.desktop` files in `exports/share/applications/*.desktop` (typically `~/.local/share/flatpak/exports/share/applications/*.desktop` and `/var/lib/flatpak/exports/share/applications/*.desktop`) to make sure that literal filenames do not follow `@@` or `@@u`. [NistCWE(cwe='CWE-74')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:N', score=5.8) NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:C/C:L/I:H/A:N', score=7.1) Astra Linux 1.7 netty Netty is an open-source, asynchronous event-driven network application framework for rapid development of maintainable high performance protocol servers & clients. In Netty (io.netty:netty-codec-http2) before version 4.1.61.Final there is a vulnerability that enables request smuggling. The content-length header is not correctly validated if the request only uses a single Http2HeaderFrame with the endStream set to to true. This could lead to request smuggling if the request is proxied to a remote peer and translated to HTTP/1.1. This is a followup of GHSA-wm47-8v5p-wjpj/CVE-2021-21295 which did miss to fix this one case. This was fixed as part of 4.1.61.Final. [NistCWE(cwe='CWE-444'), NistCWE(cwe='CWE-444')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N', score=5.9) Astra Linux 1.7 fluidsynth fluidsynth is a software synthesizer based on the SoundFont 2 specifications. A use after free violation was discovered in fluidsynth, that can be triggered when loading an invalid SoundFont file. [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:N/A:P', score=4.3) NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:N', score=7.2) Astra Linux 1.7 openjdk-11 Vulnerability in the Java SE, Java SE Embedded, Oracle GraalVM Enterprise Edition product of Oracle Java SE (component: Libraries). Supported versions that are affected are Java SE: 7u291, 8u281, 11.0.10, 16; Java SE Embedded: 8u281; Oracle GraalVM Enterprise Edition: 19.3.5, 20.3.1.2 and 21.0.0.2. Difficult to exploit vulnerability allows unauthenticated attacker with network access via multiple protocols to compromise Java SE, Java SE Embedded, Oracle GraalVM Enterprise Edition. Successful attacks require human interaction from a person other than the attacker. Successful attacks of this vulnerability can result in unauthorized creation, deletion or modification access to critical data or all Java SE, Java SE Embedded, Oracle GraalVM Enterprise Edition accessible data. Note: This vulnerability applies to Java deployments that load and run untrusted code (e.g., code that comes from the internet) and rely on the Java sandbox for security. CVSS 3.1 Base Score 5.3 (Integrity impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:H/A:N). [] NistCVSS2(cvss='AV:N/AC:H/Au:N/C:N/I:P/A:N', score=2.6) NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:H/A:N', score=5.3) Astra Linux 1.7 php7.3 In PHP versions 7.3.x below 7.3.27, 7.4.x below 7.4.15 and 8.0.x below 8.0.2, when using SOAP extension to connect to a SOAP server, a malicious SOAP server could return malformed XML data as a response that would cause PHP to access a null pointer and thus cause a crash. [NistCWE(cwe='CWE-476'), NistCWE(cwe='CWE-476')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L', score=5.3) - Удалить ПО php, если оно не используется и не является зависимостью других пакетов; - Запускать ПО php в изолированной программной среде с применением инструмента Firejail; - При использовании ПО php выполнять обработку файлов, полученных только из доверенных источников; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Для непривилегированных пользователей активировать блокировку интерпретаторов; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Включить режим замкнутой программной среды. Astra Linux 1.7 php7.3 In PHP versions 7.3.x below 7.3.29, 7.4.x below 7.4.21 and 8.0.x below 8.0.8, when using Firebird PDO driver extension, a malicious database server could cause crashes in various database functions, such as getAttribute(), execute(), fetch() and others by returning invalid response data that is not parsed correctly by the driver. This can result in crashes, denial of service or potentially memory corruption. [NistCWE(cwe='CWE-125'), NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:N/A:P', score=4.3) NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:L', score=5.0) - Удалить ПО php, если оно не используется и не является зависимостью других пакетов; - Запускать ПО php в изолированной программной среде с применением инструмента Firejail; - При использовании ПО php выполнять обработку файлов, полученных только из доверенных источников; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Для непривилегированных пользователей активировать блокировку интерпретаторов; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Включить режим замкнутой программной среды. Astra Linux 1.7 php7.3 In PHP versions 7.3.x below 7.3.29, 7.4.x below 7.4.21 and 8.0.x below 8.0.8, when using URL validation functionality via filter_var() function with FILTER_VALIDATE_URL parameter, an URL with invalid password field can be accepted as valid. This can lead to the code incorrectly parsing the URL and potentially leading to other security implications - like contacting a wrong server or making a wrong access decision. [NistCWE(cwe='CWE-20'), NistCWE(cwe='CWE-20')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:P/A:N', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N', score=4.3) - Удалить ПО php, если оно не используется и не является зависимостью других пакетов; - Запускать ПО php в изолированной программной среде с применением инструмента Firejail; - При использовании ПО php выполнять обработку файлов, полученных только из доверенных источников; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Для непривилегированных пользователей активировать блокировку интерпретаторов; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Включить режим замкнутой программной среды. Astra Linux 1.7 webkit2gtk A use-after-free vulnerability exists in the way certain events are processed for ImageLoader objects of Webkit WebKitGTK 2.30.4. A specially crafted web page can lead to a potential information leak and further memory corruption. In order to trigger the vulnerability, a victim must be tricked into visiting a malicious webpage. [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:S/C:P/I:P/A:P', score=6.0) NistCVSS3(cvss='AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:L/A:L', score=6.8) 1. Удалить ПО webkit2gtk, если оно не используется и не является зависимостью других используемых пакетов 2. Запускать приложения, использующие ПО webkit2gtk, в изолированной программной среде с применением инструмента Firejail 3. Выполнить безопасную настройку webkit2gtk: - При использовании ПО webkit2gtk производить обработку веб-контента только из доверенных источников - Включить и настроить межсетевой экран ufw для фильтрации трафика - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Отключить и удалить неиспользуемые учётные записи пользователей - Включить мандатный контроль целостности (МКЦ) - Включить режим замкнутой программной среды - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 webkit2gtk A use-after-free vulnerability exists in the way Webkit’s GraphicsContext handles certain events in WebKitGTK 2.30.4. A specially crafted web page can lead to a potential information leak and further memory corruption. A victim must be tricked into visiting a malicious web page to trigger this vulnerability. [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:L/A:L', score=6.8) 1. Удалить ПО webkit2gtk, если оно не используется и не является зависимостью других используемых пакетов 2. Запускать приложения, использующие ПО webkit2gtk, в изолированной программной среде с применением инструмента Firejail 3. Выполнить безопасную настройку webkit2gtk: - При использовании ПО webkit2gtk производить обработку веб-контента только из доверенных источников - Включить и настроить межсетевой экран ufw для фильтрации трафика - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Отключить и удалить неиспользуемые учётные записи пользователей - Включить мандатный контроль целостности (МКЦ) - Включить режим замкнутой программной среды - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 linux An information disclosure vulnerability exists in the ARM SIGPAGE functionality of Linux Kernel v5.4.66 and v5.4.54. The latest version (5.11-rc4) seems to still be vulnerable. A userland application can read the contents of the sigpage, which can leak kernel memory contents. An attacker can read a process’s memory at a specific offset to trigger this vulnerability. This was fixed in kernel releases: 4.14.222 4.19.177 5.4.99 5.10.17 5.11 [NistCWE(cwe='CWE-908'), NistCWE(cwe='CWE-908')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:P/I:N/A:N', score=2.1) NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N', score=4.0) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 webkit2gtk An exploitable use-after-free vulnerability exists in WebKitGTK browser version 2.30.3 x64. A specially crafted HTML web page can cause a use-after-free condition, resulting in remote code execution. The victim needs to visit a malicious web site to trigger the vulnerability. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО webkit2gtk, если оно не используется и не является зависимостью других используемых пакетов 2. Запускать приложения, использующие ПО webkit2gtk, в изолированной программной среде с применением инструмента Firejail 3. Выполнить безопасную настройку webkit2gtk: - При использовании ПО webkit2gtk производить обработку веб-контента только из доверенных источников - Включить и настроить межсетевой экран ufw для фильтрации трафика - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Отключить и удалить неиспользуемые учётные записи пользователей - Включить мандатный контроль целостности (МКЦ) - Включить режим замкнутой программной среды - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 libimage-exiftool-perl Improper neutralization of user data in the DjVu file format in ExifTool versions 7.44 and up allows arbitrary code execution when parsing the malicious image [NistCWE(cwe='CWE-94'), NistCWE(cwe='CWE-94')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:L', score=6.8) Astra Linux 1.7 linux A heap out-of-bounds write affecting Linux since v2.6.19-rc1 was discovered in net/netfilter/x_tables.c. This allows an attacker to gain privileges or cause a DoS (via heap memory corruption) through user name space [NistCWE(cwe='CWE-787'), NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:P/I:P/A:P', score=4.6) NistCVSS3(cvss='AV:A/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H', score=8.3) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 curl curl 7.1.1 to and including 7.75.0 is vulnerable to an "Exposure of Private Personal Information to an Unauthorized Actor" by leaking credentials in the HTTP Referer: header. libcurl does not strip off user credentials from the URL when automatically populating the Referer: HTTP request header field in outgoing HTTP requests, and therefore risks leaking sensitive data to the server that is the target of the second HTTP request. [NistCWE(cwe='CWE-359'), NistCWE(cwe='CWE-200')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:N/A:N', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N', score=5.3) - Использовать ПО curl только на низком или отдельно выделенном уровне целостности - Запускать ПО в изолированной программной среде с применением инструмента Firejail - Отказаться от использования ПО curl в пользу ПО wget - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Включить режим замкнутой программной среды Astra Linux 1.7 rails The PostgreSQL adapter in Active Record before 6.1.2.1, 6.0.3.5, 5.2.4.5 suffers from a regular expression denial of service (REDoS) vulnerability. Carefully crafted input can cause the input validation in the `money` type of the PostgreSQL adapter in Active Record to spend too much time in a regular expression, resulting in the potential for a DoS attack. This only impacts Rails applications that are using PostgreSQL along with money type columns that take user input. [NistCWE(cwe='CWE-400'), NistCWE(cwe='CWE-400')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - Обеспечить возможность запуска ПО rails только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - При использовании ПО rails выполнять обработку файлов, полученных только из доверенных источников - Для непривилегированных пользователей активировать блокировку bash - Включить режим замкнутой программной среды Astra Linux 1.7 rails A possible information disclosure / unintended method execution vulnerability in Action Pack >= 2.0.0 when using the `redirect_to` or `polymorphic_url`helper with untrusted user input. [NistCWE(cwe='CWE-209'), NistCWE(cwe='CWE-209')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:N/A:N', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N', score=7.5) - Обеспечить возможность запуска ПО rails только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - При использовании ПО rails выполнять обработку файлов, полученных только из доверенных источников - Для непривилегированных пользователей активировать блокировку bash - Включить режим замкнутой программной среды Astra Linux 1.7 curl curl 7.63.0 to and including 7.75.0 includes vulnerability that allows a malicious HTTPS proxy to MITM a connection due to bad handling of TLS 1.3 session tickets. When using a HTTPS proxy and TLS 1.3, libcurl can confuse session tickets arriving from the HTTPS proxy but work as if they arrived from the remote server and then wrongly "short-cut" the host handshake. When confusing the tickets, a HTTPS proxy can trick libcurl to use the wrong session ticket resume for the host and thereby circumvent the server TLS certificate check and make a MITM attack to be possible to perform unnoticed. Note that such a malicious HTTPS proxy needs to provide a certificate that curl will accept for the MITMed server for an attack to work - unless curl has been told to ignore the server certificate check. [NistCWE(cwe='CWE-300'), NistCWE(cwe='CWE-290')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N', score=3.7) - Использовать ПО curl только на низком или отдельно выделенном уровне целостности - Запускать ПО в изолированной программной среде с применением инструмента Firejail - Отказаться от использования ПО curl в пользу ПО wget - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Включить режим замкнутой программной среды Astra Linux 1.7 curl curl 7.7 through 7.76.1 suffers from an information disclosure when the `-t` command line option, known as `CURLOPT_TELNETOPTIONS` in libcurl, is used to send variable=content pairs to TELNET servers. Due to a flaw in the option parser for sending NEW_ENV variables, libcurl could be made to pass on uninitialized data from a stack based buffer to the server, resulting in potentially revealing sensitive internal information to the server using a clear-text network protocol. [NistCWE(cwe='CWE-200'), NistCWE(cwe='CWE-909')] NistCVSS2(cvss='AV:N/AC:H/Au:N/C:P/I:N/A:N', score=2.6) NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N', score=3.1) - Использовать ПО curl только на низком или отдельно выделенном уровне целостности - Запускать ПО в изолированной программной среде с применением инструмента Firejail - Отказаться от использования ПО curl в пользу ПО wget - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Включить режим замкнутой программной среды Astra Linux 1.7 rails The actionpack ruby gem before 6.1.3.2, 6.0.3.7, 5.2.4.6, 5.2.6 suffers from a possible denial of service vulnerability in the Token Authentication logic in Action Controller due to a too permissive regular expression. Impacted code uses `authenticate_or_request_with_http_token` or `authenticate_with_http_token` for request authentication. [NistCWE(cwe='CWE-400')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - Обеспечить возможность запуска ПО rails только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - При использовании ПО rails выполнять обработку файлов, полученных только из доверенных источников - Для непривилегированных пользователей активировать блокировку bash - Включить режим замкнутой программной среды Astra Linux 1.7 libuv1 Node.js before 16.4.1, 14.17.2, 12.22.2 is vulnerable to an out-of-bounds read when uv__idna_toascii() is used to convert strings to ASCII. The pointer p is read and increased without checking whether it is beyond pe, with the latter holding a pointer to the end of the buffer. This can lead to information disclosures or crashes. This function can be triggered via uv_getaddrinfo(). [NistCWE(cwe='CWE-125'), NistCWE(cwe='CWE-125')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:N/A:N', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N', score=5.3) Astra Linux 1.7 nodejs Node.js before 16.6.0, 14.17.4, and 12.22.4 is vulnerable to a use after free attack where an attacker might be able to exploit the memory corruption, to change process behavior. [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:P/A:P', score=7.5) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) - При использовании ПО NodeJS выполнять обработку только доверенных файлов, полученных из доверенных источников - Запускайте NodeJS-скрипты с минимально необходимыми правами доступа - Запускать ПО в изолированной программной среде с применением инструмента Firejail - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.7 curl A user can tell curl >= 7.20.0 and <= 7.78.0 to require a successful upgrade to TLS when speaking to an IMAP, POP3 or FTP server (`--ssl-reqd` on the command line or`CURLOPT_USE_SSL` set to `CURLUSESSL_CONTROL` or `CURLUSESSL_ALL` withlibcurl). This requirement could be bypassed if the server would return a properly crafted but perfectly legitimate response.This flaw would then make curl silently continue its operations **withoutTLS** contrary to the instructions and expectations, exposing possibly sensitive data in clear text over the network. [NistCWE(cwe='CWE-325'), NistCWE(cwe='CWE-319')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:N/A:N', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N', score=7.5) - Использовать ПО curl только на низком или отдельно выделенном уровне целостности - Запускать ПО в изолированной программной среде с применением инструмента Firejail - Отказаться от использования ПО curl в пользу ПО wget - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Включить режим замкнутой программной среды Astra Linux 1.7 linux A race condition in Linux kernel SCTP sockets (net/sctp/socket.c) before 5.12-rc8 can lead to kernel privilege escalation from the context of a network service or an unprivileged process. If sctp_destroy_sock is called without sock_net(sk)->sctp.addr_wq_lock then an element is removed from the auto_asconf_splist list without any proper locking. This can be exploited by an attacker with network service privileges to escalate to root or from the context of an unprivileged user directly if a BPF_CGROUP_INET_SOCK_CREATE is attached which denies creation of some SCTP socket. [NistCWE(cwe='CWE-362'), NistCWE(cwe='CWE-362')] NistCVSS2(cvss='AV:L/AC:M/Au:N/C:C/I:C/A:C', score=6.9) NistCVSS3(cvss='AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H', score=6.7) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 htmldoc A flaw was found in htmldoc in v1.9.12. Double-free in function pspdf_export(),in ps-pdf.cxx may result in a write-what-where condition, allowing an attacker to execute arbitrary code and denial of service. [NistCWE(cwe='CWE-415'), NistCWE(cwe='CWE-415')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:P/A:P', score=7.5) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) Astra Linux 1.7 htmldoc A flaw was found in htmldoc before v1.9.12. Heap buffer overflow in pspdf_prepare_outpages(), in ps-pdf.cxx may lead to execute arbitrary code and denial of service. [NistCWE(cwe='CWE-122'), NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:C/I:C/A:C', score=10.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) Astra Linux 1.7 htmldoc A flaw was found in htmldoc in v1.9.12 and before. Null pointer dereference in file_extension(),in file.c may lead to execute arbitrary code and denial of service. [NistCWE(cwe='CWE-476'), NistCWE(cwe='CWE-476')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=7.8) Astra Linux 1.7 htmldoc A security issue was found in htmldoc v1.9.12 and before. A NULL pointer dereference in the function image_load_jpeg() in image.cxx may result in denial of service. [NistCWE(cwe='CWE-476'), NistCWE(cwe='CWE-476')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=7.8) Astra Linux 1.7 htmldoc A flaw was found in htmldoc in v1.9.12 and prior. A stack buffer overflow in parse_table() in ps-pdf.cxx may lead to execute arbitrary code and denial of service. [NistCWE(cwe='CWE-121'), NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=7.8) Astra Linux 1.7 postgresql-11 When the server is configured to use trust authentication with a clientcert requirement or to use cert authentication, a man-in-the-middle attacker can inject arbitrary SQL queries when a connection is first established, despite the use of SSL certificate verification and encryption. [NistCWE(cwe='CWE-89'), NistCWE(cwe='CWE-89')] NistCVSS2(cvss='AV:N/AC:H/Au:N/C:P/I:P/A:P', score=5.1) NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H', score=8.1) - При использовании ПО postgresql выполнять обработку файлов, полученных только из доверенных источников - Запускать ПО postgresql в изолированной программной среде с применением инструмента Firejail - Использовать выделенную группу postgres для взаимодействия с postgresql - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Включить режим замкнутой программной среды - Включить мандатный контроль целостности (МКЦ) - Включить межсетевой экран ufw; - Отключить и удалить неиспользуемые учётные записи пользователей Astra Linux 1.7 node-hosted-git-info The package hosted-git-info before 3.0.8 are vulnerable to Regular Expression Denial of Service (ReDoS) via regular expression shortcutMatch in the fromUrl function in index.js. The affected regular expression exhibits polynomial worst-case time complexity. [NistCWE(cwe='CWE-1333')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L', score=5.3) Astra Linux 1.7 openjdk-11 Vulnerability in the Java SE, Oracle GraalVM Enterprise Edition product of Oracle Java SE (component: Networking). Supported versions that are affected are Java SE: 7u301, 8u291, 11.0.11, 16.0.1; Oracle GraalVM Enterprise Edition: 20.3.2 and 21.1.0. Difficult to exploit vulnerability allows unauthenticated attacker with network access via multiple protocols to compromise Java SE, Oracle GraalVM Enterprise Edition. Successful attacks require human interaction from a person other than the attacker. Successful attacks of this vulnerability can result in unauthorized read access to a subset of Java SE, Oracle GraalVM Enterprise Edition accessible data. Note: This vulnerability applies to Java deployments, typically in clients running sandboxed Java Web Start applications or sandboxed Java applets, that load and run untrusted code (e.g., code that comes from the internet) and rely on the Java sandbox for security. This vulnerability does not apply to Java deployments, typically in servers, that load and run only trusted code (e.g., code installed by an administrator). CVSS 3.1 Base Score 3.1 (Confidentiality impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N). [] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:N/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N', score=3.1) Astra Linux 1.7 openjdk-11 Vulnerability in the Java SE, Oracle GraalVM Enterprise Edition product of Oracle Java SE (component: Library). Supported versions that are affected are Java SE: 7u301, 8u291, 11.0.11, 16.0.1; Oracle GraalVM Enterprise Edition: 20.3.2 and 21.1.0. Easily exploitable vulnerability allows unauthenticated attacker with network access via multiple protocols to compromise Java SE, Oracle GraalVM Enterprise Edition. Successful attacks require human interaction from a person other than the attacker. Successful attacks of this vulnerability can result in unauthorized update, insert or delete access to some of Java SE, Oracle GraalVM Enterprise Edition accessible data. Note: This vulnerability applies to Java deployments, typically in clients running sandboxed Java Web Start applications or sandboxed Java applets, that load and run untrusted code (e.g., code that comes from the internet) and rely on the Java sandbox for security. This vulnerability does not apply to Java deployments, typically in servers, that load and run only trusted code (e.g., code installed by an administrator). CVSS 3.1 Base Score 4.3 (Integrity impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N). [] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N', score=4.3) Astra Linux 1.7 openjdk-11 Vulnerability in the Java SE, Oracle GraalVM Enterprise Edition product of Oracle Java SE (component: Hotspot). Supported versions that are affected are Java SE: 8u291, 11.0.11, 16.0.1; Oracle GraalVM Enterprise Edition: 20.3.2 and 21.1.0. Difficult to exploit vulnerability allows unauthenticated attacker with network access via multiple protocols to compromise Java SE, Oracle GraalVM Enterprise Edition. Successful attacks require human interaction from a person other than the attacker. Successful attacks of this vulnerability can result in takeover of Java SE, Oracle GraalVM Enterprise Edition. Note: This vulnerability applies to Java deployments, typically in clients running sandboxed Java Web Start applications or sandboxed Java applets, that load and run untrusted code (e.g., code that comes from the internet) and rely on the Java sandbox for security. This vulnerability does not apply to Java deployments, typically in servers, that load and run only trusted code (e.g., code installed by an administrator). CVSS 3.1 Base Score 7.5 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H). [] NistCVSS2(cvss='AV:N/AC:H/Au:N/C:P/I:P/A:P', score=5.1) NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H', score=7.5) Astra Linux 1.7 firefox, thunderbird If a user clicked into a specifically crafted PDF, the PDF reader could be confused into leaking cross-origin information, when said information is served as chunked data. This vulnerability affects Firefox < 85, Thunderbird < 78.7, and Firefox ESR < 78.7. [] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:N/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N', score=4.3) Astra Linux 1.7 firefox, thunderbird Using the new logical assignment operators in a JavaScript switch statement could have caused a type confusion, leading to a memory corruption and a potentially exploitable crash. This vulnerability affects Firefox < 85, Thunderbird < 78.7, and Firefox ESR < 78.7. [NistCWE(cwe='CWE-843')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) Astra Linux 1.7 firefox The browser could have been confused into transferring a pointer lock state into another tab, which could have lead to clickjacking attacks. This vulnerability affects Firefox < 85. [NistCWE(cwe='CWE-1021')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N', score=6.1) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 firefox An ambiguous file picker design could have confused users who intended to select and upload a single file into uploading a whole directory. This was addressed by adding a new prompt. This vulnerability affects Firefox < 85. [] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:N/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N', score=6.5) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 firefox The browser could have been confused into transferring a screen sharing state into another tab, which would leak unintended information. This vulnerability affects Firefox < 85. [NistCWE(cwe='CWE-668')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:N/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N', score=6.5) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 firefox, thunderbird Performing garbage collection on re-declared JavaScript variables resulted in a user-after-poison, and a potentially exploitable crash. This vulnerability affects Firefox < 85, Thunderbird < 78.7, and Firefox ESR < 78.7. [] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) Astra Linux 1.7 firefox, thunderbird Further techniques that built on the slipstream research combined with a malicious webpage could have exposed both an internal network's hosts as well as services running on the user's local machine. This vulnerability affects Firefox < 85. [] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:N/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:N', score=7.4) Astra Linux 1.7 firefox Incorrect use of the '<RowCountChanged>' method could have led to a user-after-poison and a potentially exploitable crash. This vulnerability affects Firefox < 85. [] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 firefox When sharing geolocation during an active WebRTC share, Firefox could have reset the webRTC sharing state in the user interface, leading to loss of control over the currently granted permission. This vulnerability affects Firefox < 85. [NistCWE(cwe='CWE-281')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N', score=4.3) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 firefox, thunderbird Mozilla developers reported memory safety bugs present in Firefox 84 and Firefox ESR 78.6. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code. This vulnerability affects Firefox < 85, Thunderbird < 78.7, and Firefox ESR < 78.7. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) Astra Linux 1.7 firefox Mozilla developers reported memory safety bugs present in Firefox 84. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code. This vulnerability affects Firefox < 85. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 firefox, thunderbird If Content Security Policy blocked frame navigation, the full destination of a redirect served in the frame was reported in the violation report; as opposed to the original frame URI. This could be used to leak sensitive information contained in such URIs. This vulnerability affects Firefox < 86, Thunderbird < 78.8, and Firefox ESR < 78.8. [NistCWE(cwe='CWE-209')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:N/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N', score=4.3) Astra Linux 1.7 firefox, thunderbird As specified in the W3C Content Security Policy draft, when creating a violation report, "User agents need to ensure that the source file is the URL requested by the page, pre-redirects. If that’s not possible, user agents need to strip the URL down to an origin to avoid unintentional leakage." Under certain types of redirects, Firefox incorrectly set the source file to be the destination of the redirects. This was fixed to be the redirect destination's origin. This vulnerability affects Firefox < 86, Thunderbird < 78.8, and Firefox ESR < 78.8. [] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:N/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N', score=4.3) Astra Linux 1.7 firefox Context-specific code was included in a shared jump table; resulting in assertions being triggered in multithreaded wasm code. This vulnerability affects Firefox < 86. [NistCWE(cwe='CWE-617')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:N/A:P', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H', score=6.5) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 firefox When processing a redirect with a conflicting Referrer-Policy, Firefox would have adopted the redirect's Referrer-Policy. This would have potentially resulted in more information than intended by the original origin being provided to the destination of the redirect. This vulnerability affects Firefox < 86. [] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:N/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N', score=6.5) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 firefox One phishing tactic on the web is to provide a link with HTTP Auth. For example 'https://www.phishingtarget.com@evil.com'. To mitigate this type of attack, Firefox will display a warning dialog; however, this warning dialog would not have been displayed if evil.com used a redirect that was cached by the browser. This vulnerability affects Firefox < 86. [] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 firefox, thunderbird When trying to load a cross-origin resource in an audio/video context a decoding error may have resulted, and the content of that error may have revealed information about the resource. This vulnerability affects Firefox < 86, Thunderbird < 78.8, and Firefox ESR < 78.8. [NistCWE(cwe='CWE-209')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:N/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N', score=6.5) Astra Linux 1.7 firefox The DOMParser API did not properly process '<noscript>' elements for escaping. This could be used as an mXSS vector to bypass an HTML Sanitizer. This vulnerability affects Firefox < 86. [] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N', score=6.1) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 firefox The developer page about:memory has a Measure function for exploring what object types the browser has allocated and their sizes. When this function was invoked we incorrectly called the sizeof function, instead of using the API method that checks for invalid pointers. This vulnerability affects Firefox < 86. [NistCWE(cwe='CWE-862')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N', score=6.5) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 firefox, thunderbird Mozilla developers reported memory safety bugs present in Firefox 85 and Firefox ESR 78.7. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code. This vulnerability affects Firefox < 86, Thunderbird < 78.8, and Firefox ESR < 78.8. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) Astra Linux 1.7 firefox Mozilla developers reported memory safety bugs present in Firefox 85. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code. This vulnerability affects Firefox < 86. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 python-bleach A mutation XSS affects users calling bleach.clean with all of: svg or math in the allowed tags p or br in allowed tags style, title, noscript, script, textarea, noframes, iframe, or xmp in allowed tags the keyword argument strip_comments=False Note: none of the above tags are in the default allowed tags and strip_comments defaults to True. [NistCWE(cwe='CWE-79'), NistCWE(cwe='CWE-79')] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N', score=6.1) Astra Linux 1.7 firefox, thunderbird A texture upload of a Pixel Buffer Object could have confused the WebGL code to skip binding the buffer used to unpack it, resulting in memory corruption and a potentially exploitable information leak or crash. This vulnerability affects Firefox ESR < 78.9, Firefox < 87, and Thunderbird < 78.9. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:N/A:P', score=5.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:H', score=8.1) Astra Linux 1.7 firefox, thunderbird Using techniques that built on the slipstream research, a malicious webpage could have scanned both an internal network's hosts as well as services running on the user's local machine utilizing WebRTC connections. This vulnerability affects Firefox ESR < 78.9, Firefox < 87, and Thunderbird < 78.9. [NistCWE(cwe='CWE-326')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N', score=6.5) Astra Linux 1.7 firefox By causing a transition on a parent node by removing a CSS rule, an invalid property for a marker could have been applied, resulting in memory corruption and a potentially exploitable crash. This vulnerability affects Firefox < 87. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:N/A:P', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H', score=6.5) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 firefox, thunderbird A malicious extension could have opened a popup window lacking an address bar. The title of the popup lacking an address bar should not be fully controllable, but in this situation was. This could have been used to spoof a website and attempt to trick the user into providing credentials. This vulnerability affects Firefox ESR < 78.9, Firefox < 87, and Thunderbird < 78.9. [NistCWE(cwe='CWE-290')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N', score=6.5) Astra Linux 1.7 firefox If an attacker is able to alter specific about:config values (for example malware running on the user's computer), the Devtools remote debugging feature could have been enabled in a way that was unnoticable to the user. This would have allowed a remote attacker (able to make a direct network connection to the victim) to monitor the user's browsing activity and (plaintext) network traffic. This was addressed by providing a visual cue when Devtools has an open network socket. This vulnerability affects Firefox < 87. [] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:N/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N', score=6.5) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 firefox A malicious extension with the 'search' permission could have installed a new search engine whose favicon referenced a cross-origin URL. The response to this cross-origin request could have been read by the extension, allowing a same-origin policy bypass by the extension, which should not have cross-origin permissions. This cross-origin request was made without cookies, so the sensitive information disclosed by the violation was limited to local-network resources or resources that perform IP-based authentication. This vulnerability affects Firefox < 87. [NistCWE(cwe='CWE-346')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:N/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N', score=6.5) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 firefox, thunderbird Mozilla developers and community members reported memory safety bugs present in Firefox 86 and Firefox ESR 78.8. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code. This vulnerability affects Firefox ESR < 78.9, Firefox < 87, and Thunderbird < 78.9. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) Astra Linux 1.7 firefox Mozilla developers reported memory safety bugs present in Firefox 86. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code. This vulnerability affects Firefox < 87. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 thunderbird If a Thunderbird user has previously imported Alice's OpenPGP key, and Alice has extended the validity period of her key, but Alice's updated key has not yet been imported, an attacker may send an email containing a crafted version of Alice's key with an invalid subkey, Thunderbird might subsequently attempt to use the invalid subkey, and will fail to send encrypted email to Alice. This vulnerability affects Thunderbird < 78.9.1. [] NistCVSS2(cvss='AV:N/AC:H/Au:N/C:P/I:P/A:N', score=4.0) NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:N', score=6.8) 1. Удалить ПО Thunderbird, если оно не используется 2. Отказаться от использования ПО Thunderbird в пользу ПО Evolution 3. Обеспечить запуск ПО Thunderbird в изолированной программной среде с применением инструмента Firejail Astra Linux 1.7 thunderbird Thunderbird did not check if the user ID associated with an OpenPGP key has a valid self signature. An attacker may create a crafted version of an OpenPGP key, by either replacing the original user ID, or by adding another user ID. If Thunderbird imports and accepts the crafted key, the Thunderbird user may falsely conclude that the false user ID belongs to the correspondent. This vulnerability affects Thunderbird < 78.9.1. [NistCWE(cwe='CWE-347')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N', score=4.3) 1. Удалить ПО Thunderbird, если оно не используется 2. Отказаться от использования ПО Thunderbird в пользу ПО Evolution 3. Обеспечить запуск ПО Thunderbird в изолированной программной среде с применением инструмента Firejail Astra Linux 1.7 thunderbird An attacker may perform a DoS attack to prevent a user from sending encrypted email to a correspondent. If an attacker creates a crafted OpenPGP key with a subkey that has an invalid self signature, and the Thunderbird user imports the crafted key, then Thunderbird may try to use the invalid subkey, but the RNP library rejects it from being used, causing encryption to fail. This vulnerability affects Thunderbird < 78.9.1. [NistCWE(cwe='CWE-347')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N', score=6.5) 1. Удалить ПО Thunderbird, если оно не используется 2. Отказаться от использования ПО Thunderbird в пользу ПО Evolution 3. Обеспечить запуск ПО Thunderbird в изолированной программной среде с применением инструмента Firejail Astra Linux 1.7 firefox, thunderbird A WebGL framebuffer was not initialized early enough, resulting in memory corruption and an out of bound write. This vulnerability affects Firefox ESR < 78.10, Thunderbird < 78.10, and Firefox < 88. [NistCWE(cwe='CWE-909')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) Astra Linux 1.7 firefox, thunderbird When Responsive Design Mode was enabled, it used references to objects that were previously freed. We presume that with enough effort this could have been exploited to run arbitrary code. This vulnerability affects Firefox ESR < 78.10, Thunderbird < 78.10, and Firefox < 88. [NistCWE(cwe='CWE-672')] NistCVSS2(cvss='AV:N/AC:H/Au:N/C:P/I:P/A:P', score=5.1) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) Astra Linux 1.7 firefox By utilizing 3D CSS in conjunction with Javascript, content could have been rendered outside the webpage's viewport, resulting in a spoofing attack that could have been used for phishing or other attacks on a user. This vulnerability affects Firefox < 88. [] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N', score=6.5) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 firefox Due to unexpected data type conversions, a use-after-free could have occurred when interacting with the font cache. We presume that with enough effort this could have been exploited to run arbitrary code. This vulnerability affects Firefox < 88. [NistCWE(cwe='CWE-681')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 firefox, thunderbird Through complicated navigations with new windows, an HTTP page could have inherited a secure lock icon from an HTTPS page. This vulnerability affects Firefox ESR < 78.10, Thunderbird < 78.10, and Firefox < 88. [NistCWE(cwe='CWE-345')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N', score=6.5) Astra Linux 1.7 firefox, thunderbird If a Blob URL was loaded through some unusual user interaction, it could have been loaded by the System Principal and granted additional privileges that should not be granted to web content. This vulnerability affects Firefox ESR < 78.10, Thunderbird < 78.10, and Firefox < 88. [NistCWE(cwe='CWE-269')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) Astra Linux 1.7 firefox A race condition with requestPointerLock() and setTimeout() could have resulted in a user interacting with one tab when they believed they were on a separate tab. In conjunction with certain elements (such as &lt;input type="file"&gt;) this could have led to an attack where a user was confused about the origin of the webpage and potentially disclosed information they did not intend to. This vulnerability affects Firefox < 88. [NistCWE(cwe='CWE-362')] NistCVSS2(cvss='AV:N/AC:H/Au:N/C:P/I:N/A:N', score=2.6) NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N', score=3.1) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 firefox A compromised content process could have performed session history manipulations it should not have been able to due to testing infrastructure that was not restricted to testing-only configurations. This vulnerability affects Firefox < 88. [NistCWE(cwe='CWE-668')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N', score=4.3) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 firefox, thunderbird When a user clicked on an FTP URL containing encoded newline characters (%0A and %0D), the newlines would have been interpreted as such and allowed arbitrary commands to be sent to the FTP server. This vulnerability affects Firefox ESR < 78.10, Thunderbird < 78.10, and Firefox < 88. [NistCWE(cwe='CWE-74')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) Astra Linux 1.7 libzstd In the Zstandard command-line utility prior to v1.4.1, output files were created with default permissions. Correct file permissions (matching the input) would only be set at completion time. Output files could therefore be readable or writable to unintended parties. [NistCWE(cwe='CWE-277'), NistCWE(cwe='CWE-276')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:P/I:N/A:N', score=2.1) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N', score=5.5) - Исключить передачу пустых строк в аргументах утилите zstd в скриптах и сервисах, добавить проверки аргументов и валидацию входных данных - При использовании ПО libzstd выполнять обработку файлов, полученных только из доверенных источников - Активировать режим замкнутой программной среды - Запускать приложения, использующие libzstd, на низком уровне целостности - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов Astra Linux 1.7 libzstd Beginning in v1.4.1 and prior to v1.4.9, due to an incomplete fix for CVE-2021-24031, the Zstandard command-line utility created output files with default permissions and restricted those permissions immediately afterwards. Output files could therefore momentarily be readable or writable to unintended parties. [NistCWE(cwe='CWE-277'), NistCWE(cwe='CWE-276')] NistCVSS2(cvss='AV:L/AC:M/Au:N/C:P/I:N/A:N', score=1.9) NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N', score=4.7) - Исключить передачу пустых строк в аргументах утилите zstd в скриптах и сервисах, добавить проверки аргументов и валидацию входных данных - При использовании ПО libzstd выполнять обработку файлов, полученных только из доверенных источников - Активировать режим замкнутой программной среды - Запускать приложения, использующие libzstd, на низком уровне целостности - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов Astra Linux 1.7 tomcat9 When responding to new h2c connection requests, Apache Tomcat versions 10.0.0-M1 to 10.0.0, 9.0.0.M1 to 9.0.41 and 8.5.0 to 8.5.61 could duplicate request headers and a limited amount of request body from one request to another meaning user A and user B could both see the results of user A's request. [NistCWE(cwe='CWE-200'), NistCWE(cwe='CWE-200')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:N/A:N', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N', score=7.5) - Запускать ПО tomcat в изолированной программной среде - Включить режим замкнутой программной среды - Включить мандатный контроль целостности (МКЦ) - Включить межсетевой экран ufw; - Не запускайте Tomcat от имени пользователя Root. Для этого создайте пользователя для запуска службы Tomcat: ``` sudo useradd -m -U -d /home/tomcat -s $(which false) tomcat ``` Измените право собственности на созданного пользователя tomcat: ``` chown -R tomcat:tomcat /home/tomcat ``` - Запускайте сервер Apache Tomcat с помощью Security Manager. Это предотвращает запуск недоверенных апплетов в браузере - Измените процедуру выключения Tomcat. Это поможет предотвратить отключение служб Tomcat злоумышленниками. Для этого отредактируйте файл server.xml и удалите следующий блок: ``` <Server port=“8005” shutdown=“SHUTDOWN”> ``` Если вы хотите сохранить команду shutdown, измените порт и команду по умолчанию: ``` <Server port="5800" shutdown="KILLME"> ``` - Добавьте флаги Secure и HttpOnly. Отредактируйте файл web.xml и добавьте следующие записи в блок <cookie-config>: ``` <http-only>true</http-only> <secure>true</secure> </cookie-config> ``` Astra Linux 1.7 bind9 In BIND 9.8.5 -> 9.8.8, 9.9.3 -> 9.11.29, 9.12.0 -> 9.16.13, and versions BIND 9.9.3-S1 -> 9.11.29-S1 and 9.16.8-S1 -> 9.16.13-S1 of BIND 9 Supported Preview Edition, as well as release versions 9.17.0 -> 9.17.11 of the BIND 9.17 development branch, when a vulnerable version of named receives a malformed IXFR triggering the flaw described above, the named process will terminate due to a failed assertion the next time the transferred secondary zone is refreshed. [NistCWE(cwe='CWE-617')] NistCVSS2(cvss='AV:N/AC:L/Au:S/C:N/I:N/A:P', score=4.0) NistCVSS3(cvss='AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=6.5) - Исключить из автозапуска сетевой сервис (стандартная конфигурация ОС) - Обеспечить возможность запуска bind9 только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 bind9 In BIND 9.0.0 -> 9.11.29, 9.12.0 -> 9.16.13, and versions BIND 9.9.3-S1 -> 9.11.29-S1 and 9.16.8-S1 -> 9.16.13-S1 of BIND Supported Preview Edition, as well as release versions 9.17.0 -> 9.17.11 of the BIND 9.17 development branch, when a vulnerable version of named receives a query for a record triggering the flaw described above, the named process will terminate due to a failed assertion check. The vulnerability affects all currently maintained BIND 9 branches (9.11, 9.11-S, 9.16, 9.16-S, 9.17) as well as all other versions of BIND 9. [NistCWE(cwe='CWE-617')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - Исключить из автозапуска сетевой сервис (стандартная конфигурация ОС) - Обеспечить возможность запуска bind9 только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 bind9 In BIND 9.5.0 -> 9.11.29, 9.12.0 -> 9.16.13, and versions BIND 9.11.3-S1 -> 9.11.29-S1 and 9.16.8-S1 -> 9.16.13-S1 of BIND Supported Preview Edition, as well as release versions 9.17.0 -> 9.17.1 of the BIND 9.17 development branch, BIND servers are vulnerable if they are running an affected version and are configured to use GSS-TSIG features. In a configuration which uses BIND's default settings the vulnerable code path is not exposed, but a server can be rendered vulnerable by explicitly setting values for the tkey-gssapi-keytab or tkey-gssapi-credential configuration options. Although the default configuration is not vulnerable, GSS-TSIG is frequently used in networks where BIND is integrated with Samba, as well as in mixed-server environments that combine BIND servers with Active Directory domain controllers. For servers that meet these conditions, the ISC SPNEGO implementation is vulnerable to various attacks, depending on the CPU architecture for which BIND was built: For named binaries compiled for 64-bit platforms, this flaw can be used to trigger a buffer over-read, leading to a server crash. For named binaries compiled for 32-bit platforms, this flaw can be used to trigger a server crash due to a buffer overflow and possibly also to achieve remote code execution. We have determined that standard SPNEGO implementations are available in the MIT and Heimdal Kerberos libraries, which support a broad range of operating systems, rendering the ISC implementation unnecessary and obsolete. Therefore, to reduce the attack surface for BIND users, we will be removing the ISC SPNEGO implementation in the April releases of BIND 9.11 and 9.16 (it had already been dropped from BIND 9.17). We would not normally remove something from a stable ESV (Extended Support Version) of BIND, but since system libraries can replace the ISC SPNEGO implementation, we have made an exception in this case for reasons of stability and security. [NistCWE(cwe='CWE-125')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H', score=8.1) - Исключить из автозапуска сетевой сервис (стандартная конфигурация ОС) - Обеспечить возможность запуска bind9 только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 isc-dhcp In ISC DHCP 4.1-ESV-R1 -> 4.1-ESV-R16, ISC DHCP 4.4.0 -> 4.4.2 (Other branches of ISC DHCP (i.e., releases in the 4.0.x series or lower and releases in the 4.3.x series) are beyond their End-of-Life (EOL) and no longer supported by ISC. From inspection it is clear that the defect is also present in releases from those series, but they have not been officially tested for the vulnerability), The outcome of encountering the defect while reading a lease that will trigger it varies, according to: the component being affected (i.e., dhclient or dhcpd) whether the package was built as a 32-bit or 64-bit binary whether the compiler flag -fstack-protection-strong was used when compiling In dhclient, ISC has not successfully reproduced the error on a 64-bit system. However, on a 32-bit system it is possible to cause dhclient to crash when reading an improper lease, which could cause network connectivity problems for an affected system due to the absence of a running DHCP client process. In dhcpd, when run in DHCPv4 or DHCPv6 mode: if the dhcpd server binary was built for a 32-bit architecture AND the -fstack-protection-strong flag was specified to the compiler, dhcpd may exit while parsing a lease file containing an objectionable lease, resulting in lack of service to clients. Additionally, the offending lease and the lease immediately following it in the lease database may be improperly deleted. if the dhcpd server binary was built for a 64-bit architecture OR if the -fstack-protection-strong compiler flag was NOT specified, the crash will not occur, but it is possible for the offending lease and the lease which immediately followed it to be improperly deleted. [NistCWE(cwe='CWE-119')] NistCVSS2(cvss='AV:A/AC:L/Au:N/C:N/I:N/A:P', score=3.3) NistCVSS3(cvss='AV:A/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H', score=7.4) Astra Linux 1.7 tomcat9 The fix for CVE-2020-9484 was incomplete. When using Apache Tomcat 10.0.0-M1 to 10.0.0, 9.0.0.M1 to 9.0.41, 8.5.0 to 8.5.61 or 7.0.0. to 7.0.107 with a configuration edge case that was highly unlikely to be used, the Tomcat instance was still vulnerable to CVE-2020-9494. Note that both the previously published prerequisites for CVE-2020-9484 and the previously published mitigations for CVE-2020-9484 also apply to this issue. [] NistCVSS2(cvss='AV:L/AC:M/Au:N/C:P/I:P/A:P', score=4.4) NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.0) - Запускать ПО tomcat в изолированной программной среде - Включить режим замкнутой программной среды - Включить мандатный контроль целостности (МКЦ) - Включить межсетевой экран ufw; - Не запускайте Tomcat от имени пользователя Root. Для этого создайте пользователя для запуска службы Tomcat: ``` sudo useradd -m -U -d /home/tomcat -s $(which false) tomcat ``` Измените право собственности на созданного пользователя tomcat: ``` chown -R tomcat:tomcat /home/tomcat ``` - Запускайте сервер Apache Tomcat с помощью Security Manager. Это предотвращает запуск недоверенных апплетов в браузере - Измените процедуру выключения Tomcat. Это поможет предотвратить отключение служб Tomcat злоумышленниками. Для этого отредактируйте файл server.xml и удалите следующий блок: ``` <Server port=“8005” shutdown=“SHUTDOWN”> ``` Если вы хотите сохранить команду shutdown, измените порт и команду по умолчанию: ``` <Server port="5800" shutdown="KILLME"> ``` - Добавьте флаги Secure и HttpOnly. Отредактируйте файл web.xml и добавьте следующие записи в блок <cookie-config>: ``` <http-only>true</http-only> <secure>true</secure> </cookie-config> ``` Astra Linux 1.7 libreoffice LibreOffice supports digital signatures of ODF documents and macros within documents, presenting visual aids that no alteration of the document occurred since the last signing and that the signature is valid. An Improper Certificate Validation vulnerability in LibreOffice allowed an attacker to create a digitally signed ODF document, by manipulating the documentsignatures.xml or macrosignatures.xml stream within the document to combine multiple certificate data, which when opened caused LibreOffice to display a validly signed indicator but whose content was unrelated to the signature shown. This issue affects: The Document Foundation LibreOffice 7-0 versions prior to 7.0.6; 7-1 versions prior to 7.1.2. [NistCWE(cwe='CWE-295'), NistCWE(cwe='CWE-295')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:P/A:N', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N', score=7.5) - При использовании ПО libreoffice выполнять обработку файлов, полученных только из доверенных источников - Включить блокировку исполнения макросов в документах LibreOffice. Для этого необходимо выполнить следующие действия: - Запустить ОС с правами администратора. - В терминале выполнить следующую команду: ` astra-macros-lock enable ` - Для проверки активации блокировки исполнения макросов в документах Libreoffice в терминале нужно выполнить следующую команду: ` astra-macros-lock status ` - В результате выполнения команды в терминале должно быть выведено "АКТИВНО". - Запускать ПО libreoffice в изолированной программной среде с применением инструмента Firejail; - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Запретить установку бита исполнения для всех пользователей, включая администраторов. Astra Linux 1.7 libreoffice LibreOffice supports digital signatures of ODF documents and macros within documents, presenting visual aids that no alteration of the document occurred since the last signing and that the signature is valid. An Improper Certificate Validation vulnerability in LibreOffice allowed an attacker to modify a digitally signed ODF document to insert an additional signing time timestamp which LibreOffice would incorrectly present as a valid signature signed at the bogus signing time. This issue affects: The Document Foundation LibreOffice 7-0 versions prior to 7.0.6; 7-1 versions prior to 7.1.2. [NistCWE(cwe='CWE-295'), NistCWE(cwe='CWE-295')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:P/A:N', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N', score=7.5) - При использовании ПО libreoffice выполнять обработку файлов, полученных только из доверенных источников - Включить блокировку исполнения макросов в документах LibreOffice. Для этого необходимо выполнить следующие действия: - Запустить ОС с правами администратора. - В терминале выполнить следующую команду: ` astra-macros-lock enable ` - Для проверки активации блокировки исполнения макросов в документах Libreoffice в терминале нужно выполнить следующую команду: ` astra-macros-lock status ` - В результате выполнения команды в терминале должно быть выведено "АКТИВНО". - Запускать ПО libreoffice в изолированной программной среде с применением инструмента Firejail; - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Запретить установку бита исполнения для всех пользователей, включая администраторов. Astra Linux 1.7 htmldoc A flaw was found in htmldoc in v1.9.12. Heap buffer overflow in pspdf_prepare_page(),in ps-pdf.cxx may lead to execute arbitrary code and denial of service. [NistCWE(cwe='CWE-787'), NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=7.8) Astra Linux 1.7 htmldoc A flaw was found in htmldoc in v1.9.12. Heap buffer overflow in render_table_row(),in ps-pdf.cxx may lead to arbitrary code execution and denial of service. [NistCWE(cwe='CWE-787'), NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=7.8) Astra Linux 1.7 xen Potential speculative code store bypass in all supported CPU products, in conjunction with software vulnerabilities relating to speculative execution of overwritten instructions, may cause an incorrect speculation and could result in data leakage. [NistCWE(cwe='CWE-208'), NistCWE(cwe='CWE-203')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:P/I:N/A:N', score=2.1) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N', score=5.5) - Отказаться от использования ПО Xen в пользу сертифицированной виртуализации libvirt/qemu. - Включить защиту файловой системы ("установить МКЦ на ФС"); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash, а также активировать режим Киоск-2. - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности. - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды Astra Linux 1.7 connman A stack-based buffer overflow in dnsproxy in ConnMan before 1.39 could be used by network adjacent attackers to execute code. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:A/AC:L/Au:N/C:P/I:P/A:P', score=5.8) NistCVSS3(cvss='AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=8.8) Astra Linux 1.7 connman gdhcp in ConnMan before 1.39 could be used by network-adjacent attackers to leak sensitive stack information, allowing further exploitation of bugs in gdhcp. [] NistCVSS2(cvss='AV:A/AC:L/Au:N/C:P/I:N/A:N', score=3.3) NistCVSS3(cvss='AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N', score=6.5) Astra Linux 1.7 apache2 Apache HTTP Server versions 2.4.0 to 2.4.46 A specially crafted Cookie header handled by mod_session can cause a NULL pointer dereference and crash, leading to a possible Denial Of Service [NistCWE(cwe='CWE-476')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - Обеспечить возможность использования библиотеки libapache2-mod-nss только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 apache2 In Apache HTTP Server versions 2.4.0 to 2.4.46 a specially crafted SessionHeader sent by an origin server could cause a heap overflow [NistCWE(cwe='CWE-122'), NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:P/A:P', score=7.5) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) - Обеспечить возможность использования библиотеки libapache2-mod-nss только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 avahi avahi-daemon-check-dns.sh in the Debian avahi package through 0.8-4 is executed as root via /etc/network/if-up.d/avahi-daemon, and allows a local attacker to cause a denial of service or create arbitrary empty files via a symlink attack on files under /run/avahi-daemon. NOTE: this only affects the packaging for Debian GNU/Linux (used indirectly by SUSE), not the upstream Avahi product. [NistCWE(cwe='CWE-59')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:P/I:P/A:P', score=4.6) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Проверить необходимость локального обнаружения переферийных устройств. Если не нужно, то отключить демон avahi: ` sudo systemctl disable avahi-daemon. service && sudo systemctl disable avahi-daemon.socket ` - Проверить состояние демона: ` sudo systemctl status avahi-daemon ` Astra Linux 1.7 linux An issue was discovered in the Linux kernel 3.11 through 5.10.16, as used by Xen. To service requests to the PV backend, the driver maps grant references provided by the frontend. In this process, errors may be encountered. In one case, an error encountered earlier might be discarded by later processing, resulting in the caller assuming successful mapping, and hence subsequent operations trying to access space that wasn't mapped. In another case, internal state would be insufficiently updated, preventing safe recovery from the error. This affects drivers/block/xen-blkback/blkback.c. [] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:P/I:P/A:P', score=4.6) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux An issue was discovered in the Linux kernel 2.6.39 through 5.10.16, as used in Xen. Block, net, and SCSI backends consider certain errors a plain bug, deliberately causing a kernel crash. For errors potentially being at least under the influence of guests (such as out of memory conditions), it isn't correct to assume a plain bug. Memory allocations potentially causing such crashes occur only when Linux is running in PV mode, though. This affects drivers/block/xen-blkback/blkback.c and drivers/xen/xen-scsiback.c. [NistCWE(cwe='CWE-770')] NistCVSS2(cvss='AV:L/AC:M/Au:N/C:N/I:N/A:P', score=1.9) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux An issue was discovered in the Linux kernel 3.2 through 5.10.16, as used by Xen. Grant mapping operations often occur in batch hypercalls, where a number of operations are done in a single hypercall, the success or failure of each one is reported to the backend driver, and the backend driver then loops over the results, performing follow-up actions based on the success or failure of each operation. Unfortunately, when running in PV mode, the Linux backend drivers mishandle this: Some errors are ignored, effectively implying their success from the success of related batch elements. In other cases, errors resulting from one batch element lead to further batch elements not being inspected, and hence successful ones to not be possible to properly unmap upon error recovery. Only systems with Linux backends running in PV mode are vulnerable. Linux backends run in HVM / PVH modes are not vulnerable. This affects arch/*/xen/p2m.c and drivers/xen/gntdev.c. [] NistCVSS2(cvss='AV:L/AC:M/Au:N/C:N/I:N/A:P', score=1.9) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 xen An issue was discovered in Xen 4.9 through 4.14.x. On Arm, a guest is allowed to control whether memory accesses are bypassing the cache. This means that Xen needs to ensure that all writes (such as the ones during scrubbing) have reached the memory before handing over the page to a guest. Unfortunately, the operation to clean the cache is happening before checking if the page was scrubbed. Therefore there is no guarantee when all the writes will reach the memory. [] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:P/I:N/A:N', score=2.1) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N', score=5.5) - Отказаться от использования ПО Xen в пользу сертифицированной виртуализации libvirt/qemu. - Включить защиту файловой системы ("установить МКЦ на ФС"); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash, а также активировать режим Киоск-2. - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности. - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды Astra Linux 1.7 screen encoding.c in GNU Screen through 4.8.0 allows remote attackers to cause a denial of service (invalid write access and application crash) or possibly have unspecified other impact via a crafted UTF-8 character sequence. [NistCWE(cwe='CWE-88')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:P/A:P', score=7.5) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) Astra Linux 1.7 htmldoc Null pointer dereference in the htmldoc v1.9.11 and before may allow attackers to execute arbitrary code and cause a denial of service via a crafted html file. [NistCWE(cwe='CWE-479'), NistCWE(cwe='CWE-476')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=7.8) Astra Linux 1.7 openldap In OpenLDAP through 2.4.57 and 2.5.x through 2.5.1alpha, an assertion failure in slapd can occur in the issuerAndThisUpdateCheck function via a crafted packet, resulting in a denial of service (daemon exit) via a short timestamp. This is related to schema_init.c and checkTime. [NistCWE(cwe='CWE-617')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - Исключить из автозапуска сетевой сервис - Обеспечить возможность запуска openldap только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 glib2.0 An issue was discovered in GNOME GLib before 2.66.7 and 2.67.x before 2.67.4. If g_byte_array_new_take() was called with a buffer of 4GB or more on a 64-bit platform, the length would be truncated modulo 2**32, causing unintended length truncation. [NistCWE(cwe='CWE-681')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - Включить защиту файловой системы ("установить МКЦ на ФС") - Запретить установку бита исполнения для каталогов с обрабатываемыми данными, включая права администраторов. - Активировать регламентный контроль целостности ОС и режим замкнутой программной среды. - Обрабатывать данные только из доверенных источников, блокируя загрузку непроверенных строковых объектов. - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности. - Для непривилегированных пользователей активировать режим Киоск-2 с блокировкой интерпретаторов. - Ограничить редактирование конфигурационных файлов glib2.0 исключительно группой root. Astra Linux 1.7 glib2.0 An issue was discovered in GNOME GLib before 2.66.6 and 2.67.x before 2.67.3. The function g_bytes_new has an integer overflow on 64-bit platforms due to an implicit cast from 64 bits to 32 bits. The overflow could potentially lead to memory corruption. [NistCWE(cwe='CWE-681')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - Включить защиту файловой системы ("установить МКЦ на ФС") - Запретить установку бита исполнения для каталогов с обрабатываемыми данными, включая права администраторов. - Активировать регламентный контроль целостности ОС и режим замкнутой программной среды. - Обрабатывать данные только из доверенных источников, блокируя загрузку непроверенных строковых объектов. - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности. - Для непривилегированных пользователей активировать режим Киоск-2 с блокировкой интерпретаторов. - Ограничить редактирование конфигурационных файлов glib2.0 исключительно группой root. Astra Linux 1.7 pygments In pygments 1.1+, fixed in 2.7.4, the lexers used to parse programming languages rely heavily on regular expressions. Some of the regular expressions have exponential or cubic worst-case complexity and are vulnerable to ReDoS. By crafting malicious input, an attacker can cause a denial of service. [NistCWE(cwe='CWE-1333')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) Astra Linux 1.7 xen An issue was discovered in Xen through 4.11.x, allowing x86 Intel HVM guest OS users to achieve unintended read/write DMA access, and possibly cause a denial of service (host OS crash) or gain privileges. This occurs because a backport missed a flush, and thus IOMMU updates were not always correct. NOTE: this issue exists because of an incomplete fix for CVE-2020-15565. [] NistCVSS2(cvss='AV:L/AC:M/Au:N/C:P/I:P/A:C', score=5.9) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Отказаться от использования ПО Xen в пользу сертифицированной виртуализации libvirt/qemu. - Включить защиту файловой системы ("установить МКЦ на ФС"); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash, а также активировать режим Киоск-2. - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности. - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды Astra Linux 1.7 wpa A vulnerability was discovered in how p2p/p2p_pd.c in wpa_supplicant before 2.10 processes P2P (Wi-Fi Direct) provision discovery requests. It could result in denial of service or other impact (potentially execution of arbitrary code), for an attacker within radio range. [] NistCVSS2(cvss='AV:A/AC:M/Au:N/C:P/I:P/A:P', score=5.4) NistCVSS3(cvss='AV:A/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H', score=7.5) - Отключить по возможности беспроводные системы передачи данных (WiFi, Bluetooth) - При необходимости использования WiFi - использовать для защиты данных сети VPN - Использовать ПО wpa только на низком или отдельно выделенном уровне целостности - Обеспечить возможность запуска ПО wpa только доверенными пользователями ОС - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash, а также активировать режим Киоск-2 - Запускать ПО wpa с минимально необходимыми правами доступа - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды. Astra Linux 1.7 linux An issue was discovered in the Linux kernel through 5.11.3, as used with Xen PV. A certain part of the netback driver lacks necessary treatment of errors such as failed memory allocations (as a result of changes to the handling of grant mapping errors). A host OS denial of service may occur during misbehavior of a networking frontend driver. NOTE: this issue exists because of an incomplete fix for CVE-2021-26931. [NistCWE(cwe='CWE-770')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:N/I:N/A:C', score=4.9) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H', score=6.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 glib2.0 An issue was discovered in GNOME GLib before 2.66.8. When g_file_replace() is used with G_FILE_CREATE_REPLACE_DESTINATION to replace a path that is a dangling symlink, it incorrectly also creates the target of the symlink as an empty file, which could conceivably have security relevance if the symlink is attacker-controlled. (If the path is a symlink to a file that already exists, then the contents of that file correctly remain unchanged.) [NistCWE(cwe='CWE-59')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:P/A:N', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N', score=5.3) - Включить защиту файловой системы ("установить МКЦ на ФС") - Запретить установку бита исполнения для каталогов с обрабатываемыми данными, включая права администраторов. - Активировать регламентный контроль целостности ОС и режим замкнутой программной среды. - Обрабатывать данные только из доверенных источников, блокируя загрузку непроверенных строковых объектов. - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности. - Для непривилегированных пользователей активировать режим Киоск-2 с блокировкой интерпретаторов. - Ограничить редактирование конфигурационных файлов glib2.0 исключительно группой root. Astra Linux 1.7 jetty9 In Eclipse Jetty 7.2.2 to 9.4.38, 10.0.0.alpha0 to 10.0.1, and 11.0.0.alpha0 to 11.0.1, CPU usage can reach 100% upon receiving a large invalid TLS frame. [NistCWE(cwe='CWE-400'), NistCWE(cwe='CWE-755'), NistCWE(cwe='CWE-755')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:C', score=7.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - Удалить ПО jetty9, если оно не используется и не является зависимостью других пакетов - Отказаться от использования ПО jetty9 - Обеспечить возможность запуска ПО jetty9 только доверенными пользователями ОС - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.7 jetty9 For Eclipse Jetty versions <= 9.4.40, <= 10.0.2, <= 11.0.2, it is possible for requests to the ConcatServlet with a doubly encoded path to access protected resources within the WEB-INF directory. For example a request to `/concat?/%2557EB-INF/web.xml` can retrieve the web.xml file. This can reveal sensitive information regarding the implementation of a web application. [NistCWE(cwe='CWE-200')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:N/A:N', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N', score=5.3) - Удалить ПО jetty9, если оно не используется и не является зависимостью других пакетов - Отказаться от использования ПО jetty9 - Обеспечить возможность запуска ПО jetty9 только доверенными пользователями ОС - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.7 linux An issue was discovered in the Linux kernel through 5.11.6. fastrpc_internal_invoke in drivers/misc/fastrpc.c does not prevent user applications from sending kernel RPC messages, aka CID-20c40794eb85. This is a related issue to CVE-2019-2308. [NistCWE(cwe='CWE-862')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:C/I:C/A:C', score=7.2) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 ffmpeg Integer overflow vulnerability in av_timecode_make_string in libavutil/timecode.c in FFmpeg version 4.3.2, allows local attackers to cause a denial of service (DoS) via crafted .mov file. [NistCWE(cwe='CWE-190')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) 1. Удалить ПО ffmpeg5, если оно не используется и не является зависимостью других пакетов 2. Отказаться от использования ПО ffmpeg5 в пользу ПО gstreamer 3. Соблюдайте следующие требования: - Использовать ПО ffmpeg5 только на низком или отдельно выделенном уровне целостности - При использовании ПО ffmpeg5 выполнять обработку файлов, полученных только из доверенных источников - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.7 squid An issue was discovered in Squid before 4.15 and 5.x before 5.0.6. Due to a buffer-management bug, it allows a denial of service. When resolving a request with the urn: scheme, the parser leaks a small amount of memory. However, there is an unspecified attack methodology that can easily trigger a large amount of memory consumption. [NistCWE(cwe='CWE-401')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - Исключить из автозапуска сетевой сервис - Обеспечить подключения пользователей к прокси серверу squid только по https протоколу - Использовать ПО squid только на низком или отдельно выделенном уровне целостности - Запускать ПО Squid с минимально необходимыми привилегиями - Используя полномочия администратора системы с высоким уровнем целостности, настройте конфигурационный файл Squid (/etc/squid/squid.conf): ``` # Разрешите доступ к прокси-серверу только с доверенных IP-адресов acl localnet src YOUR_TRUSTED_IP http_access allow localnet http_access deny all ``` - Настройте брандмауэр так, чтобы разрешать входящие подключения к Squid только с доверенных сетей, например: ``` sudo iptables -A INPUT -s YOUR_TRUSTED_IP -p tcp --dport 3128 -j ACCEPT sudo iptables -A INPUT -p tcp --dport 3128 -j DROP ``` - Ограничьте доступ к ненадёжным и недоверенным ресурсам с помощью белых или чёрных списков. Astra Linux 1.7 squid An issue was discovered in Squid before 4.15 and 5.x before 5.0.6. Due to incorrect parser validation, it allows a Denial of Service attack against the Cache Manager API. This allows a trusted client to trigger memory leaks that. over time, lead to a Denial of Service via an unspecified short query string. This attack is limited to clients with Cache Manager API access privilege. [NistCWE(cwe='CWE-401')] NistCVSS2(cvss='AV:N/AC:L/Au:S/C:N/I:N/A:P', score=4.0) NistCVSS3(cvss='AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H', score=4.9) - Исключить из автозапуска сетевой сервис - Обеспечить подключения пользователей к прокси серверу squid только по https протоколу - Использовать ПО squid только на низком или отдельно выделенном уровне целостности - Запускать ПО Squid с минимально необходимыми привилегиями - Используя полномочия администратора системы с высоким уровнем целостности, настройте конфигурационный файл Squid (/etc/squid/squid.conf): ``` # Разрешите доступ к прокси-серверу только с доверенных IP-адресов acl localnet src YOUR_TRUSTED_IP http_access allow localnet http_access deny all ``` - Настройте брандмауэр так, чтобы разрешать входящие подключения к Squid только с доверенных сетей, например: ``` sudo iptables -A INPUT -s YOUR_TRUSTED_IP -p tcp --dport 3128 -j ACCEPT sudo iptables -A INPUT -p tcp --dport 3128 -j DROP ``` - Ограничьте доступ к ненадёжным и недоверенным ресурсам с помощью белых или чёрных списков. Astra Linux 1.7 linux rtw_wx_set_scan in drivers/staging/rtl8188eu/os_dep/ioctl_linux.c in the Linux kernel through 5.11.6 allows writing beyond the end of the ->ssid[] array. NOTE: from the perspective of kernel.org releases, CVE IDs are not normally used for drivers/staging/* (unfinished work); however, system integrators may have situations in which a drivers/staging issue is relevant to their own customer base. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:A/AC:L/Au:N/C:C/I:C/A:C', score=8.3) NistCVSS3(cvss='AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=8.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 squid An issue was discovered in Squid 4.x before 4.15 and 5.x before 5.0.6. If a remote server sends a certain response header over HTTP or HTTPS, there is a denial of service. This header can plausibly occur in benign network traffic. [NistCWE(cwe='CWE-116')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:N/A:P', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H', score=6.5) - Исключить из автозапуска сетевой сервис - Обеспечить подключения пользователей к прокси серверу squid только по https протоколу - Использовать ПО squid только на низком или отдельно выделенном уровне целостности - Запускать ПО Squid с минимально необходимыми привилегиями - Используя полномочия администратора системы с высоким уровнем целостности, настройте конфигурационный файл Squid (/etc/squid/squid.conf): ``` # Разрешите доступ к прокси-серверу только с доверенных IP-адресов acl localnet src YOUR_TRUSTED_IP http_access allow localnet http_access deny all ``` - Настройте брандмауэр так, чтобы разрешать входящие подключения к Squid только с доверенных сетей, например: ``` sudo iptables -A INPUT -s YOUR_TRUSTED_IP -p tcp --dport 3128 -j ACCEPT sudo iptables -A INPUT -p tcp --dport 3128 -j DROP ``` - Ограничьте доступ к ненадёжным и недоверенным ресурсам с помощью белых или чёрных списков. Astra Linux 1.7 linux The fix for XSA-365 includes initialization of pointers such that subsequent cleanup code wouldn't use uninitialized or stale values. This initialization went too far and may under certain conditions also overwrite pointers which are in need of cleaning up. The lack of cleanup would result in leaking persistent grants. The leak in turn would prevent fully cleaning up after a respective guest has died, leaving around zombie domains. All Linux versions having the fix for XSA-365 applied are vulnerable. XSA-365 was classified to affect versions back to at least 3.11. [NistCWE(cwe='CWE-665')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:N/I:N/A:P', score=2.1) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H', score=6.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 xen x86: TSX Async Abort protections not restored after S3 This issue relates to the TSX Async Abort speculative security vulnerability. Please see https://xenbits.xen.org/xsa/advisory-305.html for details. Mitigating TAA by disabling TSX (the default and preferred option) requires selecting a non-default setting in MSR_TSX_CTRL. This setting isn't restored after S3 suspend. [] NistCVSS2(cvss='AV:N/AC:L/Au:S/C:P/I:N/A:N', score=4.0) NistCVSS3(cvss='AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N', score=6.5) - Отказаться от использования ПО Xen в пользу сертифицированной виртуализации libvirt/qemu. - Включить защиту файловой системы ("установить МКЦ на ФС"); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash, а также активировать режим Киоск-2. - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности. - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды Astra Linux 1.7 xen inappropriate x86 IOMMU timeout detection / handling IOMMUs process commands issued to them in parallel with the operation of the CPU(s) issuing such commands. In the current implementation in Xen, asynchronous notification of the completion of such commands is not used. Instead, the issuing CPU spin-waits for the completion of the most recently issued command(s). Some of these waiting loops try to apply a timeout to fail overly-slow commands. The course of action upon a perceived timeout actually being detected is inappropriate: - on Intel hardware guests which did not originally cause the timeout may be marked as crashed, - on AMD hardware higher layer callers would not be notified of the issue, making them continue as if the IOMMU operation succeeded. [NistCWE(cwe='CWE-269')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:P/I:N/A:C', score=5.6) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H', score=7.1) - Отказаться от использования ПО Xen в пользу сертифицированной виртуализации libvirt/qemu. - Включить защиту файловой системы ("установить МКЦ на ФС"); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash, а также активировать режим Киоск-2. - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности. - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды Astra Linux 1.7 ruby-kramdown Kramdown before 2.3.1 does not restrict Rouge formatters to the Rouge::Formatters namespace, and thus arbitrary classes can be instantiated. [] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) Astra Linux 1.7 rustc In the standard library in Rust before 1.50.0, read_to_end() does not validate the return value from Read in an unsafe context. This bug could lead to a buffer overflow. [NistCWE(cwe='CWE-252')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) Astra Linux 1.7 rustc In the standard library in Rust before 1.51.0, the Zip implementation calls __iterator_get_unchecked() for the same index more than once when nested. This bug can lead to a memory safety violation due to an unmet safety requirement for the TrustedRandomAccess trait. [NistCWE(cwe='CWE-119')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) Astra Linux 1.7 lxml An XSS vulnerability was discovered in python-lxml's clean module versions before 4.6.3. When disabling the safe_attrs_only and forms arguments, the Cleaner class does not remove the formaction attribute allowing for JS to bypass the sanitizer. A remote attacker could exploit this flaw to run arbitrary JS code on users who interact with incorrectly sanitized HTML. This issue is patched in lxml 4.6.3. [NistCWE(cwe='CWE-79'), NistCWE(cwe='CWE-79')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N', score=6.1) Astra Linux 1.7 linux A race condition was discovered in get_old_root in fs/btrfs/ctree.c in the Linux kernel through 5.11.8. It allows attackers to cause a denial of service (BUG) because of a lack of locking on an extent buffer before a cloning operation, aka CID-dbcc7d57bffc. [NistCWE(cwe='CWE-362')] NistCVSS2(cvss='AV:L/AC:M/Au:N/C:N/I:N/A:P', score=1.9) NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H', score=4.7) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 ruby2.5 The REXML gem before 3.2.5 in Ruby before 2.6.7, 2.7.x before 2.7.3, and 3.x before 3.0.1 does not properly address XML round-trip issues. An incorrect document can be produced after parsing and serializing. [] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:P/A:N', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N', score=7.5) - При использовании ПО Ruby выполнять обработку только доверенных файлов, полученных из доверенных источников - Запускайте Ruby-скрипты с минимально необходимыми правами доступа - Запускать ПО в изолированной программной среде с применением инструмента Firejail - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.7 linux In intel_pmu_drain_pebs_nhm in arch/x86/events/intel/ds.c in the Linux kernel through 5.11.8 on some Haswell CPUs, userspace applications (such as perf-fuzzer) can cause a system crash because the PEBS status in a PEBS record is mishandled, aka CID-d88d05a9e0b6. [NistCWE(cwe='CWE-755')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:N/I:N/A:C', score=4.9) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In drivers/pci/hotplug/rpadlpar_sysfs.c in the Linux kernel through 5.11.8, the RPA PCI Hotplug driver has a user-tolerable buffer overflow when writing a new device name to the driver from userspace, allowing userspace to write data to the kernel stack frame directly. This occurs because add_slot_store and remove_slot_store mishandle drc_name '\0' termination, aka CID-cc7a0bb058b8. [NistCWE(cwe='CWE-120')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:C/I:C/A:C', score=7.2) NistCVSS3(cvss='AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H', score=6.7) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux BPF JIT compilers in the Linux kernel through 5.11.12 have incorrect computation of branch displacements, allowing them to execute arbitrary code within the kernel context. This affects arch/x86/net/bpf_jit_comp.c and arch/x86/net/bpf_jit_comp32.c. [NistCWE(cwe='CWE-77')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:C/I:C/A:C', score=7.2) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux An issue was discovered in the Linux kernel through 5.11.x. kernel/bpf/verifier.c performs undesirable out-of-bounds speculation on pointer arithmetic, leading to side-channel attacks that defeat Spectre mitigations and obtain sensitive information from kernel memory. Specifically, for sequences of pointer arithmetic operations, the pointer modification performed by the first operation is not correctly accounted for when restricting subsequent operations. [NistCWE(cwe='CWE-125')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:P/I:N/A:N', score=2.1) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux An issue was discovered in the Linux kernel through 5.11.10. drivers/net/ethernet/freescale/gianfar.c in the Freescale Gianfar Ethernet driver allows attackers to cause a system crash because a negative fragment size is calculated in situations involving an rx queue overrun when jumbo packets are used and NAPI is enabled, aka CID-d8861bab48b6. [] NistCVSS2(cvss='AV:L/AC:M/Au:N/C:N/I:N/A:C', score=4.7) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux An issue was discovered in the Linux kernel before 5.11.7. usbip_sockfd_store in drivers/usb/usbip/stub_dev.c allows attackers to cause a denial of service (GPF) because the stub-up sequence has race conditions during an update of the local and shared status, aka CID-9380afd6df70. [NistCWE(cwe='CWE-362')] NistCVSS2(cvss='AV:L/AC:M/Au:N/C:N/I:N/A:C', score=4.7) NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H', score=4.7) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 commons-io In Apache Commons IO before 2.7, When invoking the method FileNameUtils.normalize with an improper input string, like "//../foo", or "\\..\foo", the result would be the same value, thus possibly providing access to files in the parent directory, but not further above (thus "limited" path traversal), if the calling code would use the result to construct a path value. [NistCWE(cwe='CWE-20'), NistCWE(cwe='CWE-22')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:N', score=5.8) NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N', score=4.8) Astra Linux 1.7 exiv2 Exiv2 is a command-line utility and C++ library for reading, writing, deleting, and modifying the metadata of image files. A heap buffer overflow was found in Exiv2 versions v0.27.3 and earlier. The heap overflow is triggered when Exiv2 is used to write metadata into a crafted image file. An attacker could potentially exploit the vulnerability to gain code execution, if they can trick the victim into running Exiv2 on a crafted image file. Note that this bug is only triggered when _writing_ the metadata, which is a less frequently used Exiv2 operation than _reading_ the metadata. For example, to trigger the bug in the Exiv2 command-line application, you need to add an extra command-line argument such as `insert`. The bug is fixed in version v0.27.4. [NistCWE(cwe='CWE-122')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=7.8) - Использовать ПО exiv2 только на низком или отдельно выделенном уровне целостности - При использовании ПО Exiv2 выполнять обработку файлов, полученных только из доверенных источников - Обеспечить возможность запуска По Exiv2 только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Включить режим замкнутой программной среды Astra Linux 1.7 composer Composer is a dependency manager for PHP. URLs for Mercurial repositories in the root composer.json and package source download URLs are not sanitized correctly. Specifically crafted URL values allow code to be executed in the HgDriver if hg/Mercurial is installed on the system. The impact to Composer users directly is limited as the composer.json file is typically under their own control and source download URLs can only be supplied by third party Composer repositories they explicitly trust to download and execute source code from, e.g. Composer plugins. The main impact is to services passing user input to Composer, including Packagist.org and Private Packagist. This allowed users to trigger remote code execution. The vulnerability has been patched on Packagist.org and Private Packagist within 12h of receiving the initial vulnerability report and based on a review of logs, to the best of our knowledge, was not abused by anyone. Other services/tools using VcsRepository/VcsDriver or derivatives may also be vulnerable and should upgrade their composer/composer dependency immediately. Versions 1.10.22 and 2.0.13 include patches for this issue. [NistCWE(cwe='CWE-88')] NistCVSS2(cvss='AV:N/AC:L/Au:S/C:P/I:P/A:P', score=6.5) NistCVSS3(cvss='AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=8.8) Astra Linux 1.7 exiv2 Exiv2 is a C++ library and a command-line utility to read, write, delete and modify Exif, IPTC, XMP and ICC image metadata. An out-of-bounds read was found in Exiv2 versions v0.27.3 and earlier. Exiv2 is a command-line utility and C++ library for reading, writing, deleting, and modifying the metadata of image files. The out-of-bounds read is triggered when Exiv2 is used to write metadata into a crafted image file. An attacker could potentially exploit the vulnerability to cause a denial of service by crashing Exiv2, if they can trick the victim into running Exiv2 on a crafted image file. Note that this bug is only triggered when writing the metadata, which is a less frequently used Exiv2 operation than reading the metadata. For example, to trigger the bug in the Exiv2 command-line application, you need to add an extra command-line argument such as `insert`. The bug is fixed in version v0.27.4. Please see our security policy for information about Exiv2 security. [NistCWE(cwe='CWE-125')] NistCVSS2(cvss='AV:N/AC:H/Au:N/C:N/I:N/A:P', score=2.6) NistCVSS3(cvss='AV:L/AC:H/PR:N/UI:R/S:U/C:N/I:N/A:L', score=2.5) - Использовать ПО exiv2 только на низком или отдельно выделенном уровне целостности - При использовании ПО Exiv2 выполнять обработку файлов, полученных только из доверенных источников - Обеспечить возможность запуска По Exiv2 только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Включить режим замкнутой программной среды Astra Linux 1.7 linux An issue was discovered in the Linux kernel before 5.11.11. qrtr_recvmsg in net/qrtr/qrtr.c allows attackers to obtain sensitive information from kernel memory because of a partially uninitialized data structure, aka CID-50535249f624. [NistCWE(cwe='CWE-909')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:P/I:N/A:N', score=2.1) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux An issue was discovered in the Linux kernel before 5.11.11. The netfilter subsystem allows attackers to cause a denial of service (panic) because net/netfilter/x_tables.c and include/linux/netfilter/x_tables.h lack a full memory barrier upon the assignment of a new table value, aka CID-175e476b8cdf. [] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:N/I:N/A:C', score=4.9) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 firefox, thunderbird The WebAssembly JIT could miscalculate the size of a return type, which could lead to a null read and result in a crash. *Note: This issue only affected x86-32 platforms. Other platforms are unaffected.*. This vulnerability affects Firefox ESR < 78.10, Thunderbird < 78.10, and Firefox < 88. [NistCWE(cwe='CWE-682')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:N/A:P', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H', score=6.5) Astra Linux 1.7 firefox, thunderbird Ports that were written as an integer overflow above the bounds of a 16-bit integer could have bypassed port blocking restrictions when used in the Alt-Svc header. This vulnerability affects Firefox ESR < 78.10, Thunderbird < 78.10, and Firefox < 88. [NistCWE(cwe='CWE-190')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) Astra Linux 1.7 firefox Mozilla developers and community members reported memory safety bugs present in Firefox 87. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code. This vulnerability affects Firefox < 88. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 thunderbird Signatures are written to disk before and read during verification, which might be subject to a race condition when a malicious local process or user is replacing the file. This vulnerability affects Thunderbird < 78.10. [NistCWE(cwe='CWE-362')] NistCVSS2(cvss='AV:L/AC:M/Au:N/C:N/I:P/A:N', score=1.9) NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:L/A:N', score=2.5) 1. Удалить ПО Thunderbird, если оно не используется 2. Отказаться от использования ПО Thunderbird в пользу ПО Evolution 3. Обеспечить запуск ПО Thunderbird в изолированной программной среде с применением инструмента Firejail Astra Linux 1.7 thunderbird When loading the shared library that provides the OTR protocol implementation, Thunderbird will initially attempt to open it using a filename that isn't distributed by Thunderbird. If a computer has already been infected with a malicious library of the alternative filename, and the malicious library has been copied to a directory that is contained in the search path for executable libraries, then Thunderbird will load the incorrect library. This vulnerability affects Thunderbird < 78.9.1. [NistCWE(cwe='CWE-427')] NistCVSS2(cvss='AV:L/AC:M/Au:N/C:P/I:P/A:P', score=4.4) NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=7.8) 1. Удалить ПО Thunderbird, если оно не используется 2. Отказаться от использования ПО Thunderbird в пользу ПО Evolution 3. Обеспечить запуск ПО Thunderbird в изолированной программной среде с применением инструмента Firejail Astra Linux 1.7 thunderbird Thunderbird unprotects a secret OpenPGP key prior to using it for a decryption, signing or key import task. If the task runs into a failure, the secret key may remain in memory in its unprotected state. This vulnerability affects Thunderbird < 78.8.1. [NistCWE(cwe='CWE-312')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:N/A:N', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N', score=7.5) 1. Удалить ПО Thunderbird, если оно не используется 2. Отказаться от использования ПО Thunderbird в пользу ПО Evolution 3. Обеспечить запуск ПО Thunderbird в изолированной программной среде с применением инструмента Firejail Astra Linux 1.7 firefox When Web Render components were destructed, a race condition could have caused undefined behavior, and we presume that with enough effort may have been exploitable to run arbitrary code. This vulnerability affects Firefox < 88.0.1 and Firefox for Android < 88.1.3. [NistCWE(cwe='CWE-362')] NistCVSS2(cvss='AV:N/AC:H/Au:N/C:P/I:P/A:P', score=5.1) NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H', score=7.5) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 firefox A transient execution vulnerability, named Floating Point Value Injection (FPVI) allowed an attacker to leak arbitrary memory addresses and may have also enabled JIT type confusion attacks. (A related vulnerability, Speculative Code Store Bypass (SCSB), did not affect Firefox.). This vulnerability affects Firefox ESR < 78.9 and Firefox < 87. [NistCWE(cwe='CWE-74')] NistCVSS2(cvss='AV:N/AC:H/Au:N/C:P/I:N/A:N', score=2.6) NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:N/A:N', score=5.3) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 thunderbird OpenPGP secret keys that were imported using Thunderbird version 78.8.1 up to version 78.10.1 were stored unencrypted on the user's local disk. The master password protection was inactive for those keys. Version 78.10.2 will restore the protection mechanism for newly imported keys, and will automatically protect keys that had been imported using affected Thunderbird versions. This vulnerability affects Thunderbird < 78.10.2. [NistCWE(cwe='CWE-312')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:N/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N', score=4.3) 1. Удалить ПО Thunderbird, если оно не используется 2. Отказаться от использования ПО Thunderbird в пользу ПО Evolution 3. Обеспечить запуск ПО Thunderbird в изолированной программной среде с применением инструмента Firejail Astra Linux 1.7 thunderbird If a MIME encoded email contains an OpenPGP inline signed or encrypted message part, but also contains an additional unprotected part, Thunderbird did not indicate that only parts of the message are protected. This vulnerability affects Thunderbird < 78.10.2. [] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N', score=4.3) 1. Удалить ПО Thunderbird, если оно не используется 2. Отказаться от использования ПО Thunderbird в пользу ПО Evolution 3. Обеспечить запуск ПО Thunderbird в изолированной программной среде с применением инструмента Firejail Astra Linux 1.7 firefox When a user has already allowed a website to access microphone and camera, disabling camera sharing would not fully prevent the website from re-enabling it without an additional prompt. This was only possible if the website kept recording with the microphone until re-enabling the camera. This vulnerability affects Firefox < 89. [NistCWE(cwe='CWE-863')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N', score=4.3) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 firefox Firefox used to cache the last filename used for printing a file. When generating a filename for printing, Firefox usually suggests the web page title. The caching and suggestion techniques combined may have lead to the title of a website visited during private browsing mode being stored on disk. This vulnerability affects Firefox < 89. [NistCWE(cwe='CWE-669')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:N/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N', score=4.3) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 firefox When styling and rendering an oversized `<select>` element, Firefox did not apply correct clipping which allowed an attacker to paint over the user interface. This vulnerability affects Firefox < 89. [NistCWE(cwe='CWE-863')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N', score=4.3) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 firefox Mozilla developers reported memory safety bugs present in Firefox 88. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code. This vulnerability affects Firefox < 89. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 firefox, thunderbird Mozilla developers reported memory safety bugs present in Firefox 88 and Firefox ESR 78.11. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code. This vulnerability affects Thunderbird < 78.11, Firefox < 89, and Firefox ESR < 78.11. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) Astra Linux 1.7 thunderbird If Thunderbird was configured to use STARTTLS for an IMAP connection, and an attacker injected IMAP server responses prior to the completion of the STARTTLS handshake, then Thunderbird didn't ignore the injected data. This could have resulted in Thunderbird showing incorrect information, for example the attacker could have tricked Thunderbird to show folders that didn't exist on the IMAP server. This vulnerability affects Thunderbird < 78.12. [NistCWE(cwe='CWE-552')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:N/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N', score=5.9) 1. Удалить ПО Thunderbird, если оно не используется 2. Отказаться от использования ПО Thunderbird в пользу ПО Evolution 3. Обеспечить запуск ПО Thunderbird в изолированной программной среде с применением инструмента Firejail Astra Linux 1.7 firefox, thunderbird A malicious webpage could have triggered a use-after-free, memory corruption, and a potentially exploitable crash. *This bug could only be triggered when accessibility was enabled.*. This vulnerability affects Thunderbird < 78.12, Firefox ESR < 78.12, and Firefox < 90. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:H/Au:N/C:P/I:P/A:P', score=5.1) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) Astra Linux 1.7 firefox A use-after-free vulnerability was found via testing, and traced to an out-of-date Cairo library. Updating the library resolved the issue, and may have remediated other, unknown security vulnerabilities as well. This vulnerability affects Firefox < 90. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 firefox When network partitioning was enabled, e.g. as a result of Enhanced Tracking Protection settings, a TLS error page would allow the user to override an error on a domain which had specified HTTP Strict Transport Security (which implies that the error should not be override-able.) This issue did not affect the network connections, and they were correctly upgraded to HTTPS automatically. This vulnerability affects Firefox < 90. [] NistCVSS2(cvss='AV:N/AC:H/Au:N/C:N/I:P/A:N', score=2.6) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N', score=4.3) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 firefox Through a series of DOM manipulations, a message, over which the attacker had control of the text but not HTML or formatting, could be overlaid on top of another domain (with the new domain correctly shown in the address bar) resulting in possible user confusion. This vulnerability affects Firefox < 90. [] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N', score=6.5) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 firefox, thunderbird Mozilla developers reported memory safety bugs present in code shared between Firefox and Thunderbird. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code. This vulnerability affects Thunderbird < 78.12, Firefox ESR < 78.12, and Firefox < 90. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) Astra Linux 1.7 firefox Mozilla developers reported memory safety bugs present in Firefox 89. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code. This vulnerability affects Firefox < 90. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 firefox, thunderbird Uninitialized memory in a canvas object could have caused an incorrect free() leading to memory corruption and a potentially exploitable crash. This vulnerability affects Thunderbird < 78.13, Thunderbird < 91, Firefox ESR < 78.13, and Firefox < 91. [NistCWE(cwe='CWE-909')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) Astra Linux 1.7 firefox, thunderbird An issue present in lowering/register allocation could have led to obscure but deterministic register confusion failures in JITted code that would lead to a potentially exploitable crash. This vulnerability affects Firefox < 91 and Thunderbird < 91. [] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) Astra Linux 1.7 firefox, thunderbird Due to incorrect JIT optimization, we incorrectly interpreted data from the wrong type of object, resulting in the potential leak of a single bit of memory. This vulnerability affects Firefox < 91 and Thunderbird < 91. [NistCWE(cwe='CWE-772')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:N/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N', score=6.5) Astra Linux 1.7 firefox, thunderbird Instruction reordering resulted in a sequence of instructions that would cause an object to be incorrectly considered during garbage collection. This led to memory corruption and a potentially exploitable crash. This vulnerability affects Thunderbird < 78.13, Thunderbird < 91, Firefox ESR < 78.13, and Firefox < 91. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) Astra Linux 1.7 firefox, thunderbird A use-after-free vulnerability in media channels could have led to memory corruption and a potentially exploitable crash. This vulnerability affects Thunderbird < 78.13, Thunderbird < 91, Firefox ESR < 78.13, and Firefox < 91. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) Astra Linux 1.7 firefox, thunderbird A suspected race condition when calling getaddrinfo led to memory corruption and a potentially exploitable crash. *Note: This issue only affected Linux operating systems. Other operating systems are unaffected.* This vulnerability affects Thunderbird < 78.13, Thunderbird < 91, Firefox ESR < 78.13, and Firefox < 91. [NistCWE(cwe='CWE-362')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H', score=8.1) Astra Linux 1.7 firefox, thunderbird After requesting multiple permissions, and closing the first permission panel, subsequent permission panels will be displayed in a different position but still record a click in the default location, making it possible to trick a user into accepting a permission they did not want to. *This bug only affects Firefox on Linux. Other operating systems are unaffected.*. This vulnerability affects Firefox < 91 and Thunderbird < 91. [NistCWE(cwe='CWE-307')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:N/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N', score=6.5) Astra Linux 1.7 firefox, thunderbird Firefox incorrectly treated an inline list-item element as a block element, resulting in an out of bounds read or memory corruption, and a potentially exploitable crash. This vulnerability affects Thunderbird < 78.13, Thunderbird < 91, Firefox ESR < 78.13, and Firefox < 91. [NistCWE(cwe='CWE-125')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) Astra Linux 1.7 firefox, thunderbird Mozilla developers reported memory safety bugs present in Firefox 90 and Firefox ESR 78.12. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code. This vulnerability affects Thunderbird < 78.13, Firefox ESR < 78.13, and Firefox < 91. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) Astra Linux 1.7 firefox Mozilla developers and community members reported memory safety bugs present in Firefox 90. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code. This vulnerability affects Firefox < 91. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 firefox, thunderbird Firefox incorrectly accepted a newline in a HTTP/3 header, interpretting it as two separate headers. This allowed for a header splitting attack against servers using HTTP/3. This vulnerability affects Firefox < 91.0.1 and Thunderbird < 91.0.1. [NistCWE(cwe='CWE-444')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:N', score=5.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N', score=8.1) Astra Linux 1.7 linux An issue was discovered in the Linux kernel before 5.11.3 when a webcam device exists. video_usercopy in drivers/media/v4l2-core/v4l2-ioctl.c has a memory leak for large arguments, aka CID-fb18802a338b. [NistCWE(cwe='CWE-401')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:N/I:N/A:P', score=2.1) NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=6.2) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 md4c md_analyze_line in md4c.c in md4c 0.4.7 allows attackers to trigger use of uninitialized memory, and cause a denial of service via a malformed Markdown document. [NistCWE(cwe='CWE-908')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:N/A:P', score=4.3) NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H', score=5.5) Astra Linux 1.7 chromium Incorrect security UI in Web App Installs in Google Chrome on Android prior to 90.0.4430.212 allowed an attacker who convinced a user to install a web application to inject scripts or HTML into a privileged page via a crafted HTML page. [NistCWE(cwe='CWE-74')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Inappropriate implementation in Offline in Google Chrome on Android prior to 90.0.4430.212 allowed a remote attacker who had compromised the renderer process to bypass site isolation via a crafted HTML page. [NistCWE(cwe='CWE-829')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Heap buffer overflow in Media Feeds in Google Chrome prior to 90.0.4430.212 allowed an attacker who convinced a user to enable certain features in Chrome to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Out of bounds write in Tab Strip in Google Chrome prior to 90.0.4430.212 allowed an attacker who convinced a user to install a malicious extension to perform an out of bounds memory write via a crafted HTML page and a crafted Chrome extension. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in Aura in Google Chrome prior to 90.0.4430.212 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Out of bounds read in Tab Groups in Google Chrome prior to 90.0.4430.212 allowed an attacker who convinced a user to install a malicious extension to perform an out of bounds memory read via a crafted HTML page. [NistCWE(cwe='CWE-125')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:N/A:P', score=5.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:H', score=8.1) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in Notifications in Google Chrome prior to 90.0.4430.212 allowed a remote attacker who had compromised the renderer process to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Type confusion in V8 in Google Chrome prior to 90.0.4430.212 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-843')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in Autofill in Google Chrome prior to 90.0.4430.212 allowed a remote attacker who had compromised the renderer process to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in File API in Google Chrome prior to 90.0.4430.212 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Heap buffer overflow in History in Google Chrome prior to 90.0.4430.212 allowed a remote attacker who had compromised the renderer process to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Type confusion in V8 in Google Chrome prior to 90.0.4430.212 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-843')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Heap buffer overflow in Reader Mode in Google Chrome prior to 90.0.4430.212 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in Payments in Google Chrome prior to 90.0.4430.212 allowed an attacker who convinced a user to install a malicious payments app to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in Tab Strip in Google Chrome prior to 90.0.4430.212 allowed an attacker who convinced a user to install a malicious extension to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Heap buffer overflow in Autofill in Google Chrome on Android prior to 91.0.4472.77 allowed a remote attacker to perform out of bounds memory access via a crafted HTML page. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in WebAudio in Google Chrome prior to 91.0.4472.77 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in WebRTC in Google Chrome prior to 91.0.4472.77 allowed a remote attacker to potentially exploit heap corruption via a crafted SCTP packet. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in TabStrip in Google Chrome prior to 91.0.4472.77 allowed an attacker who convinced a user to install a malicious extension to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in TabGroups in Google Chrome prior to 91.0.4472.77 allowed an attacker who convinced a user to install a malicious extension to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Out of bounds write in TabStrip in Google Chrome prior to 91.0.4472.77 allowed an attacker who convinced a user to install a malicious extension to perform an out of bounds memory write via a crafted HTML page. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in WebUI in Google Chrome prior to 91.0.4472.77 allowed an attacker who convinced a user to install a malicious extension to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in WebAuthentication in Google Chrome on Android prior to 91.0.4472.77 allowed a remote attacker who had compromised the renderer process of a user who had saved a credit card in their Google account to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in Bookmarks in Google Chrome prior to 91.0.4472.77 allowed an attacker who convinced a user to install a malicious extension to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Out of bounds memory access in WebAudio in Google Chrome prior to 91.0.4472.77 allowed a remote attacker to perform out of bounds memory access via a crafted HTML page. [NistCWE(cwe='CWE-119')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Insufficient policy enforcement in Content Security Policy in Google Chrome prior to 91.0.4472.77 allowed a remote attacker to bypass content security policy via a crafted HTML page. [] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N', score=6.5) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Insufficient policy enforcement in Content Security Policy in Google Chrome prior to 91.0.4472.77 allowed a remote attacker to bypass content security policy via a crafted HTML page. [] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N', score=4.3) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Insufficient policy enforcement in PopupBlocker in Google Chrome prior to 91.0.4472.77 allowed a remote attacker to bypass navigation restrictions via a crafted iframe. [NistCWE(cwe='CWE-863'), NistCWE(cwe='CWE-863')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N', score=6.5) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Insufficient policy enforcement in iFrameSandbox in Google Chrome prior to 91.0.4472.77 allowed a remote attacker to bypass navigation restrictions via a crafted HTML page. [NistCWE(cwe='CWE-863')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N', score=6.5) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Double free in ICU in Google Chrome prior to 91.0.4472.77 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-415')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Out of bounds read in V8 in Google Chrome prior to 91.0.4472.77 allowed a remote attacker to potentially exploit stack corruption via a crafted HTML page. [NistCWE(cwe='CWE-125')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:N/A:P', score=5.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:H', score=8.1) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Insufficient policy enforcement in cookies in Google Chrome prior to 91.0.4472.77 allowed a remote attacker to bypass cookie policy via a crafted HTML page. [NistCWE(cwe='CWE-863')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N', score=4.3) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Insufficient policy enforcement in content security policy in Google Chrome prior to 91.0.4472.77 allowed a remote attacker to bypass content security policy via a crafted HTML page. [NistCWE(cwe='CWE-863')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N', score=4.3) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Insufficient policy enforcement in content security policy in Google Chrome prior to 91.0.4472.77 allowed a remote attacker to bypass content security policy via a crafted HTML page. [NistCWE(cwe='CWE-863')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:N', score=5.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N', score=5.4) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Incorrect security UI in payments in Google Chrome on Android prior to 91.0.4472.77 allowed a remote attacker to perform domain spoofing via a crafted HTML page. [NistCWE(cwe='CWE-74')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N', score=6.5) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in V8 in Google Chrome prior to 91.0.4472.164 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in Tab Strip in Google Chrome prior to 91.0.4472.77 allowed an attacker who convinced a user to install a malicious extension to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in Tab Strip in Google Chrome prior to 91.0.4472.77 allowed an attacker who convinced a user to install a malicious extension to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in BFCache in Google Chrome prior to 91.0.4472.101 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in Extensions in Google Chrome prior to 91.0.4472.101 allowed a remote attacker who had compromised the renderer process to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in Autofill in Google Chrome prior to 91.0.4472.101 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 firefox, thunderbird, chromium Out of bounds write in ANGLE in Google Chrome prior to 91.0.4472.101 allowed a remote attacker to potentially perform out of bounds memory access via a crafted HTML page. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) Astra Linux 1.7 chromium Use after free in Loader in Google Chrome prior to 91.0.4472.101 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in Spell check in Google Chrome prior to 91.0.4472.101 allowed an attacker who convinced a user to install a malicious extension to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in Accessibility in Google Chrome prior to 91.0.4472.101 allowed an attacker who convinced a user to install a malicious extension to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Type confusion in V8 in Google Chrome prior to 91.0.4472.101 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-843'), NistCWE(cwe='CWE-843')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in Extensions in Google Chrome prior to 91.0.4472.101 allowed an attacker who convinced a user to install a malicious extension to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in Network service in Google Chrome prior to 91.0.4472.101 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in WebGL in Google Chrome prior to 91.0.4472.114 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in Sharing in Google Chrome prior to 91.0.4472.114 allowed an attacker who convinced a user to install a malicious extension to potentially exploit heap corruption via a crafted HTML page and user gesture. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in WebAudio in Google Chrome prior to 91.0.4472.114 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in TabGroups in Google Chrome prior to 91.0.4472.114 allowed an attacker who convinced a user to install a malicious extension to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Insufficient policy enforcement in content security policy in Google Chrome prior to 91.0.4472.77 allowed a remote attacker to bypass content security policy via a crafted HTML page. (Chrome security severity: Medium) [] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Out of bounds write in ANGLE in Google Chrome prior to 91.0.4472.164 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium, libxslt Use after free in Blink XSLT in Google Chrome prior to 91.0.4472.164 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) Astra Linux 1.7 chromium Type Confusion in V8 in Google Chrome prior to 91.0.4472.164 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-843')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in WebSerial in Google Chrome prior to 91.0.4472.164 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Type Confusion in V8 in Google Chrome prior to 91.0.4472.164 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-843'), NistCWE(cwe='CWE-843')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Heap buffer overflow in WebXR in Google Chrome prior to 91.0.4472.164 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Out of bounds write in Tab Groups in Google Chrome on Linux and ChromeOS prior to 92.0.4515.107 allowed an attacker who convinced a user to install a malicious extension to perform an out of bounds memory write via a crafted HTML page. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Stack buffer overflow in Printing in Google Chrome prior to 92.0.4515.107 allowed a remote attacker who had compromised the renderer process to potentially exploit stack corruption via a crafted HTML page. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in DevTools in Google Chrome prior to 92.0.4515.107 allowed an attacker who convinced a user to open DevTools to potentially exploit heap corruption via specific user gesture. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Heap buffer overflow in WebGL in Google Chrome prior to 92.0.4515.107 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in sqlite in Google Chrome prior to 92.0.4515.107 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Insufficient policy enforcement in DevTools in Google Chrome prior to 92.0.4515.107 allowed an attacker who convinced a user to install a malicious extension to potentially perform a sandbox escape via a crafted HTML page. [NistCWE(cwe='CWE-863')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H', score=9.6) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in Autofill in Google Chrome prior to 92.0.4515.107 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in GPU in Google Chrome prior to 92.0.4515.107 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in protocol handling in Google Chrome prior to 92.0.4515.107 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Out of bounds write in Autofill in Google Chrome prior to 92.0.4515.107 allowed a remote attacker who had compromised the renderer process to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in DevTools in Google Chrome prior to 92.0.4515.107 allowed an attacker who convinced a user to install a malicious extension to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Insufficient policy enforcement in Installer in Google Chrome prior to 92.0.4515.107 allowed a remote attacker to perform local privilege escalation via a crafted file. [NistCWE(cwe='CWE-732')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=7.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Uninitialized use in Media in Google Chrome prior to 92.0.4515.107 allowed a remote attacker to perform out of bounds memory access via a crafted HTML page. [NistCWE(cwe='CWE-908')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in UI framework in Google Chrome prior to 92.0.4515.107 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Insufficient policy enforcement in Android intents in Google Chrome prior to 92.0.4515.107 allowed an attacker who convinced a user to install a malicious application to obtain potentially sensitive information via a crafted HTML page. [] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:N/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N', score=6.5) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in DevTools in Google Chrome prior to 92.0.4515.107 allowed an attacker who convinced a user to install a malicious extension to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Inappropriate implementation in Animation in Google Chrome prior to 92.0.4515.107 allowed a remote attacker to leak cross-origin data via a crafted HTML page. [] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:N/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N', score=6.5) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Insufficient policy enforcement in image handling in iOS in Google Chrome on iOS prior to 92.0.4515.107 allowed a remote attacker to leak cross-origin data via a crafted HTML page. [] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:N/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N', score=6.5) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Incorrect security UI in Downloads in Google Chrome on Android prior to 92.0.4515.107 allowed a remote attacker to perform domain spoofing via a crafted HTML page. [] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N', score=6.5) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in sensor handling in Google Chrome on Windows prior to 92.0.4515.107 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in dialog box handling in Windows in Google Chrome prior to 92.0.4515.107 allowed an attacker who convinced a user to install a malicious extension to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Inappropriate implementation in Compositing in Google Chrome prior to 92.0.4515.107 allowed a remote attacker to potentially spoof the contents of the Omnibox (URL bar) via a crafted HTML page. [] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N', score=4.3) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Type confusion in V8 in Google Chrome prior to 92.0.4515.107 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-843')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Insufficient validation of untrusted input in Sharing in Google Chrome prior to 92.0.4515.107 allowed a remote attacker to bypass navigation restrictions via a crafted click-to-call link. [NistCWE(cwe='CWE-20')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N', score=4.3) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Heap buffer overflow in Bookmarks in Google Chrome prior to 92.0.4515.131 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in File System API in Google Chrome prior to 92.0.4515.131 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Out of bounds write in Tab Groups in Google Chrome prior to 92.0.4515.131 allowed an attacker who convinced a user to install a malicious extension to perform an out of bounds memory write via a crafted HTML page. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Out of bounds read in Tab Strip in Google Chrome prior to 92.0.4515.131 allowed an attacker who convinced a user to install a malicious extension to perform an out of bounds memory read via a crafted HTML page. [NistCWE(cwe='CWE-125')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:N/A:P', score=5.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:H', score=8.1) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in Page Info UI in Google Chrome prior to 92.0.4515.131 allowed a remote attacker to potentially exploit heap corruption via physical access to the device. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:P/I:P/A:P', score=4.6) NistCVSS3(cvss='AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=6.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Incorrect security UI in Navigation in Google Chrome on Android prior to 92.0.4515.131 allowed a remote attacker to spoof the contents of the Omnibox (URL bar) via a crafted HTML page. [NistCWE(cwe='CWE-346')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N', score=4.3) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in Browser UI in Google Chrome on Chrome prior to 92.0.4515.131 allowed a remote attacker to potentially exploit heap corruption via physical access to the device. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:P/I:P/A:P', score=4.6) NistCVSS3(cvss='AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=6.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Type confusion in V8 in Google Chrome prior to 92.0.4515.159 allowed a remote attacker to execute arbitrary code inside a sandbox via a crafted HTML page. [NistCWE(cwe='CWE-843')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Type confusion in V8 in Google Chrome prior to 92.0.4515.159 allowed a remote attacker to execute arbitrary code inside a sandbox via a crafted HTML page. [NistCWE(cwe='CWE-843')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in Printing in Google Chrome prior to 92.0.4515.159 allowed a remote attacker who had compromised the renderer process to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in Extensions API in Google Chrome prior to 92.0.4515.159 allowed an attacker who convinced a user to install a malicious extension to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in WebRTC in Google Chrome prior to 92.0.4515.159 allowed an attacker who convinced a user to visit a malicious website to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Data race in WebAudio in Google Chrome prior to 92.0.4515.159 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-362')] NistCVSS2(cvss='AV:N/AC:H/Au:N/C:P/I:P/A:P', score=5.1) NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H', score=7.5) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in ANGLE in Google Chrome prior to 92.0.4515.159 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Chromium: CVE-2021-30606 Use after free in Blink [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Chromium: CVE-2021-30607 Use after free in Permissions [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Chromium: CVE-2021-30608 Use after free in Web Share [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Chromium: CVE-2021-30609 Use after free in Sign-In [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Chromium: CVE-2021-30610 Use after free in Extensions API [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Chromium: CVE-2021-30611 Use after free in WebRTC [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Chromium: CVE-2021-30612 Use after free in WebRTC [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Chromium: CVE-2021-30614 Heap buffer overflow in TabStrip [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Chromium: CVE-2021-30615 Cross-origin data leak in Navigation [] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:N/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N', score=6.5) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Chromium: CVE-2021-30616 Use after free in Media [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Chromium: CVE-2021-30617 Policy bypass in Blink [] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N', score=6.5) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Chromium: CVE-2021-30619 UI Spoofing in Autofill [NistCWE(cwe='CWE-290')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N', score=6.5) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Chromium: CVE-2021-30620 Insufficient policy enforcement in Blink [] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Chromium: CVE-2021-30621 UI Spoofing in Autofill [NistCWE(cwe='CWE-290')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N', score=6.5) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Chromium: CVE-2021-30622 Use after free in WebApp Installs [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Chromium: CVE-2021-30623 Use after free in Bookmarks [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Chromium: CVE-2021-30624 Use after free in Autofill [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in Selection API in Google Chrome prior to 93.0.4577.82 allowed a remote attacker who convinced the user the visit a malicious website to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Type confusion in Blink layout in Google Chrome prior to 93.0.4577.82 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-843')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Stack buffer overflow in ANGLE in Google Chrome prior to 93.0.4577.82 allowed a remote attacker to potentially exploit stack corruption via a crafted HTML page. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in Permissions in Google Chrome prior to 93.0.4577.82 allowed a remote attacker who had compromised the renderer process to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Inappropriate implementation in Blink in Google Chrome prior to 93.0.4577.82 allowed a remote attacker who had compromised the renderer process to leak cross-origin data via a crafted HTML page. [NistCWE(cwe='CWE-346')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:N/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N', score=4.3) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Out of bounds write in V8 in Google Chrome prior to 93.0.4577.82 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-787'), NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in Indexed DB API in Google Chrome prior to 93.0.4577.82 allowed a remote attacker who had compromised the renderer process to potentially perform a sandbox escape via a crafted HTML page. [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H', score=9.6) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 tomcat9 A vulnerability in the JNDI Realm of Apache Tomcat allows an attacker to authenticate using variations of a valid user name and/or to bypass some of the protection provided by the LockOut Realm. This issue affects Apache Tomcat 10.0.0-M1 to 10.0.5; 9.0.0.M1 to 9.0.45; 8.5.0 to 8.5.65. [NistCWE(cwe='CWE-116')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:N', score=5.8) NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:H/A:N', score=6.5) - Запускать ПО tomcat в изолированной программной среде - Включить режим замкнутой программной среды - Включить мандатный контроль целостности (МКЦ) - Включить межсетевой экран ufw; - Не запускайте Tomcat от имени пользователя Root. Для этого создайте пользователя для запуска службы Tomcat: ``` sudo useradd -m -U -d /home/tomcat -s $(which false) tomcat ``` Измените право собственности на созданного пользователя tomcat: ``` chown -R tomcat:tomcat /home/tomcat ``` - Запускайте сервер Apache Tomcat с помощью Security Manager. Это предотвращает запуск недоверенных апплетов в браузере - Измените процедуру выключения Tomcat. Это поможет предотвратить отключение служб Tomcat злоумышленниками. Для этого отредактируйте файл server.xml и удалите следующий блок: ``` <Server port=“8005” shutdown=“SHUTDOWN”> ``` Если вы хотите сохранить команду shutdown, измените порт и команду по умолчанию: ``` <Server port="5800" shutdown="KILLME"> ``` - Добавьте флаги Secure и HttpOnly. Отредактируйте файл web.xml и добавьте следующие записи в блок <cookie-config>: ``` <http-only>true</http-only> <secure>true</secure> </cookie-config> ``` Astra Linux 1.7 apache2 Apache HTTP Server versions 2.4.39 to 2.4.46 Unexpected matching behavior with 'MergeSlashes OFF' [] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:P/A:N', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N', score=5.3) - Обеспечить возможность использования библиотеки libapache2-mod-nss только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 webkit2gtk An integer overflow was addressed with improved input validation. This issue is fixed in iOS 14.5.1 and iPadOS 14.5.1, tvOS 14.6, iOS 12.5.3, Safari 14.1.1, macOS Big Sur 11.3.1. Processing maliciously crafted web content may lead to arbitrary code execution. [NistCWE(cwe='CWE-190'), NistCWE(cwe='CWE-190')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО webkit2gtk, если оно не используется и не является зависимостью других используемых пакетов 2. Запускать приложения, использующие ПО webkit2gtk, в изолированной программной среде с применением инструмента Firejail 3. Выполнить безопасную настройку webkit2gtk: - При использовании ПО webkit2gtk производить обработку веб-контента только из доверенных источников - Включить и настроить межсетевой экран ufw для фильтрации трафика - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Отключить и удалить неиспользуемые учётные записи пользователей - Включить мандатный контроль целостности (МКЦ) - Включить режим замкнутой программной среды - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 webkit2gtk A memory corruption issue was addressed with improved state management. This issue is fixed in watchOS 7.4.1, iOS 14.5.1 and iPadOS 14.5.1, tvOS 14.6, iOS 12.5.3, macOS Big Sur 11.3.1. Processing maliciously crafted web content may lead to arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited.. [NistCWE(cwe='CWE-787'), NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО webkit2gtk, если оно не используется и не является зависимостью других используемых пакетов 2. Запускать приложения, использующие ПО webkit2gtk, в изолированной программной среде с применением инструмента Firejail 3. Выполнить безопасную настройку webkit2gtk: - При использовании ПО webkit2gtk производить обработку веб-контента только из доверенных источников - Включить и настроить межсетевой экран ufw для фильтрации трафика - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Отключить и удалить неиспользуемые учётные записи пользователей - Включить мандатный контроль целостности (МКЦ) - Включить режим замкнутой программной среды - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 webkit2gtk A logic issue was addressed with improved restrictions. This issue is fixed in tvOS 14.6, iOS 14.6 and iPadOS 14.6, Safari 14.1.1, macOS Big Sur 11.4, watchOS 7.5. A malicious application may be able to leak sensitive user information. [] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:N/A:N', score=4.3) NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N', score=5.5) 1. Удалить ПО webkit2gtk, если оно не используется и не является зависимостью других используемых пакетов 2. Запускать приложения, использующие ПО webkit2gtk, в изолированной программной среде с применением инструмента Firejail 3. Выполнить безопасную настройку webkit2gtk: - При использовании ПО webkit2gtk производить обработку веб-контента только из доверенных источников - Включить и настроить межсетевой экран ufw для фильтрации трафика - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Отключить и удалить неиспользуемые учётные записи пользователей - Включить мандатный контроль целостности (МКЦ) - Включить режим замкнутой программной среды - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 webkit2gtk A logic issue was addressed with improved state management. This issue is fixed in tvOS 14.6, iOS 14.6 and iPadOS 14.6, Safari 14.1.1, macOS Big Sur 11.4, watchOS 7.5. Processing maliciously crafted web content may lead to universal cross site scripting. [NistCWE(cwe='CWE-79')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N', score=6.1) 1. Удалить ПО webkit2gtk, если оно не используется и не является зависимостью других используемых пакетов 2. Запускать приложения, использующие ПО webkit2gtk, в изолированной программной среде с применением инструмента Firejail 3. Выполнить безопасную настройку webkit2gtk: - При использовании ПО webkit2gtk производить обработку веб-контента только из доверенных источников - Включить и настроить межсетевой экран ufw для фильтрации трафика - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Отключить и удалить неиспользуемые учётные записи пользователей - Включить мандатный контроль целостности (МКЦ) - Включить режим замкнутой программной среды - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 webkit2gtk A logic issue was addressed with improved restrictions. This issue is fixed in tvOS 14.6, iOS 14.6 and iPadOS 14.6, Safari 14.1.1, macOS Big Sur 11.4, watchOS 7.5. A malicious website may be able to access restricted ports on arbitrary servers. [NistCWE(cwe='CWE-287')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:N', score=5.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N', score=5.4) 1. Удалить ПО webkit2gtk, если оно не используется и не является зависимостью других используемых пакетов 2. Запускать приложения, использующие ПО webkit2gtk, в изолированной программной среде с применением инструмента Firejail 3. Выполнить безопасную настройку webkit2gtk: - При использовании ПО webkit2gtk производить обработку веб-контента только из доверенных источников - Включить и настроить межсетевой экран ufw для фильтрации трафика - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Отключить и удалить неиспользуемые учётные записи пользователей - Включить мандатный контроль целостности (МКЦ) - Включить режим замкнутой программной среды - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 webkit2gtk Multiple memory corruption issues were addressed with improved memory handling. This issue is fixed in tvOS 14.6, iOS 14.6 and iPadOS 14.6, Safari 14.1.1, macOS Big Sur 11.4, watchOS 7.5. Processing maliciously crafted web content may lead to arbitrary code execution. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО webkit2gtk, если оно не используется и не является зависимостью других используемых пакетов 2. Запускать приложения, использующие ПО webkit2gtk, в изолированной программной среде с применением инструмента Firejail 3. Выполнить безопасную настройку webkit2gtk: - При использовании ПО webkit2gtk производить обработку веб-контента только из доверенных источников - Включить и настроить межсетевой экран ufw для фильтрации трафика - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Отключить и удалить неиспользуемые учётные записи пользователей - Включить мандатный контроль целостности (МКЦ) - Включить режим замкнутой программной среды - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 webkit2gtk Description: A cross-origin issue with iframe elements was addressed with improved tracking of security origins. This issue is fixed in tvOS 14.6, iOS 14.6 and iPadOS 14.6, Safari 14.1.1, macOS Big Sur 11.4, watchOS 7.5. Processing maliciously crafted web content may lead to universal cross site scripting. [NistCWE(cwe='CWE-79')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N', score=6.1) 1. Удалить ПО webkit2gtk, если оно не используется и не является зависимостью других используемых пакетов 2. Запускать приложения, использующие ПО webkit2gtk, в изолированной программной среде с применением инструмента Firejail 3. Выполнить безопасную настройку webkit2gtk: - При использовании ПО webkit2gtk производить обработку веб-контента только из доверенных источников - Включить и настроить межсетевой экран ufw для фильтрации трафика - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Отключить и удалить неиспользуемые учётные записи пользователей - Включить мандатный контроль целостности (МКЦ) - Включить режим замкнутой программной среды - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 webkit2gtk Multiple memory corruption issues were addressed with improved memory handling. This issue is fixed in tvOS 14.6, iOS 14.6 and iPadOS 14.6, Safari 14.1.1, macOS Big Sur 11.4, watchOS 7.5. Processing maliciously crafted web content may lead to arbitrary code execution. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО webkit2gtk, если оно не используется и не является зависимостью других используемых пакетов 2. Запускать приложения, использующие ПО webkit2gtk, в изолированной программной среде с применением инструмента Firejail 3. Выполнить безопасную настройку webkit2gtk: - При использовании ПО webkit2gtk производить обработку веб-контента только из доверенных источников - Включить и настроить межсетевой экран ufw для фильтрации трафика - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Отключить и удалить неиспользуемые учётные записи пользователей - Включить мандатный контроль целостности (МКЦ) - Включить режим замкнутой программной среды - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 webkit2gtk A type confusion issue was addressed with improved state handling. This issue is fixed in iOS 14.7, Safari 14.1.2, macOS Big Sur 11.5, watchOS 7.6, tvOS 14.7. Processing maliciously crafted web content may lead to arbitrary code execution. [NistCWE(cwe='CWE-843')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО webkit2gtk, если оно не используется и не является зависимостью других используемых пакетов 2. Запускать приложения, использующие ПО webkit2gtk, в изолированной программной среде с применением инструмента Firejail 3. Выполнить безопасную настройку webkit2gtk: - При использовании ПО webkit2gtk производить обработку веб-контента только из доверенных источников - Включить и настроить межсетевой экран ufw для фильтрации трафика - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Отключить и удалить неиспользуемые учётные записи пользователей - Включить мандатный контроль целостности (МКЦ) - Включить режим замкнутой программной среды - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 webkit2gtk A use after free issue was addressed with improved memory management. This issue is fixed in iOS 14.7, Safari 14.1.2, macOS Big Sur 11.5, watchOS 7.6, tvOS 14.7. Processing maliciously crafted web content may lead to arbitrary code execution. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:C/I:C/A:C', score=9.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО webkit2gtk, если оно не используется и не является зависимостью других используемых пакетов 2. Запускать приложения, использующие ПО webkit2gtk, в изолированной программной среде с применением инструмента Firejail 3. Выполнить безопасную настройку webkit2gtk: - При использовании ПО webkit2gtk производить обработку веб-контента только из доверенных источников - Включить и настроить межсетевой экран ufw для фильтрации трафика - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Отключить и удалить неиспользуемые учётные записи пользователей - Включить мандатный контроль целостности (МКЦ) - Включить режим замкнутой программной среды - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 webkit2gtk This issue was addressed with improved checks. This issue is fixed in iOS 14.7, Safari 14.1.2, macOS Big Sur 11.5, watchOS 7.6, tvOS 14.7. Processing maliciously crafted web content may lead to code execution. [] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО webkit2gtk, если оно не используется и не является зависимостью других используемых пакетов 2. Запускать приложения, использующие ПО webkit2gtk, в изолированной программной среде с применением инструмента Firejail 3. Выполнить безопасную настройку webkit2gtk: - При использовании ПО webkit2gtk производить обработку веб-контента только из доверенных источников - Включить и настроить межсетевой экран ufw для фильтрации трафика - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Отключить и удалить неиспользуемые учётные записи пользователей - Включить мандатный контроль целостности (МКЦ) - Включить режим замкнутой программной среды - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 webkit2gtk Multiple memory corruption issues were addressed with improved memory handling. This issue is fixed in iOS 14.7, macOS Big Sur 11.5, Security Update 2021-004 Catalina, Security Update 2021-005 Mojave. Processing maliciously crafted web content may lead to arbitrary code execution. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:C/I:C/A:C', score=9.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО webkit2gtk, если оно не используется и не является зависимостью других используемых пакетов 2. Запускать приложения, использующие ПО webkit2gtk, в изолированной программной среде с применением инструмента Firejail 3. Выполнить безопасную настройку webkit2gtk: - При использовании ПО webkit2gtk производить обработку веб-контента только из доверенных источников - Включить и настроить межсетевой экран ufw для фильтрации трафика - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Отключить и удалить неиспользуемые учётные записи пользователей - Включить мандатный контроль целостности (МКЦ) - Включить режим замкнутой программной среды - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 webkit2gtk A use after free issue was addressed with improved memory management. This issue is fixed in Safari 15, tvOS 15, watchOS 8, iOS 15 and iPadOS 15. Processing maliciously crafted web content may lead to arbitrary code execution. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО webkit2gtk, если оно не используется и не является зависимостью других используемых пакетов 2. Запускать приложения, использующие ПО webkit2gtk, в изолированной программной среде с применением инструмента Firejail 3. Выполнить безопасную настройку webkit2gtk: - При использовании ПО webkit2gtk производить обработку веб-контента только из доверенных источников - Включить и настроить межсетевой экран ufw для фильтрации трафика - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Отключить и удалить неиспользуемые учётные записи пользователей - Включить мандатный контроль целостности (МКЦ) - Включить режим замкнутой программной среды - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 webkit2gtk An out-of-bounds read was addressed with improved input validation. This issue is fixed in iOS 14.8 and iPadOS 14.8, tvOS 15, watchOS 8, iOS 15 and iPadOS 15. Processing a maliciously crafted audio file may disclose restricted memory. [NistCWE(cwe='CWE-125')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:N/A:N', score=4.3) NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N', score=5.5) 1. Удалить ПО webkit2gtk, если оно не используется и не является зависимостью других используемых пакетов 2. Запускать приложения, использующие ПО webkit2gtk, в изолированной программной среде с применением инструмента Firejail 3. Выполнить безопасную настройку webkit2gtk: - При использовании ПО webkit2gtk производить обработку веб-контента только из доверенных источников - Включить и настроить межсетевой экран ufw для фильтрации трафика - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Отключить и удалить неиспользуемые учётные записи пользователей - Включить мандатный контроль целостности (МКЦ) - Включить режим замкнутой программной среды - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 webkit2gtk A memory corruption issue was addressed with improved memory handling. This issue is fixed in iOS 14.8 and iPadOS 14.8, Safari 15, iOS 15 and iPadOS 15. Processing maliciously crafted web content may lead to code execution. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=7.8) 1. Удалить ПО webkit2gtk, если оно не используется и не является зависимостью других используемых пакетов 2. Запускать приложения, использующие ПО webkit2gtk, в изолированной программной среде с применением инструмента Firejail 3. Выполнить безопасную настройку webkit2gtk: - При использовании ПО webkit2gtk производить обработку веб-контента только из доверенных источников - Включить и настроить межсетевой экран ufw для фильтрации трафика - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Отключить и удалить неиспользуемые учётные записи пользователей - Включить мандатный контроль целостности (МКЦ) - Включить режим замкнутой программной среды - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 webkit2gtk Multiple memory corruption issues were addressed with improved memory handling. This issue is fixed in iOS 14.8 and iPadOS 14.8, watchOS 8, Safari 15, tvOS 15, iOS 15 and iPadOS 15, iTunes 12.12 for Windows. Processing maliciously crafted web content may lead to arbitrary code execution. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=7.8) 1. Удалить ПО webkit2gtk, если оно не используется и не является зависимостью других используемых пакетов 2. Запускать приложения, использующие ПО webkit2gtk, в изолированной программной среде с применением инструмента Firejail 3. Выполнить безопасную настройку webkit2gtk: - При использовании ПО webkit2gtk производить обработку веб-контента только из доверенных источников - Включить и настроить межсетевой экран ufw для фильтрации трафика - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Отключить и удалить неиспользуемые учётные записи пользователей - Включить мандатный контроль целостности (МКЦ) - Включить режим замкнутой программной среды - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 webkit2gtk A use after free issue was addressed with improved memory management. This issue is fixed in iOS 14.8 and iPadOS 14.8, macOS Big Sur 11.6. Processing maliciously crafted web content may lead to arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited. [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО webkit2gtk, если оно не используется и не является зависимостью других используемых пакетов 2. Запускать приложения, использующие ПО webkit2gtk, в изолированной программной среде с применением инструмента Firejail 3. Выполнить безопасную настройку webkit2gtk: - При использовании ПО webkit2gtk производить обработку веб-контента только из доверенных источников - Включить и настроить межсетевой экран ufw для фильтрации трафика - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Отключить и удалить неиспользуемые учётные записи пользователей - Включить мандатный контроль целостности (МКЦ) - Включить режим замкнутой программной среды - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 exiv2 An integer overflow in CrwMap::encode0x1810 of Exiv2 0.27.3 allows attackers to trigger a heap-based buffer overflow and cause a denial of service (DOS) via crafted metadata. [NistCWE(cwe='CWE-190')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - Использовать ПО exiv2 только на низком или отдельно выделенном уровне целостности - При использовании ПО Exiv2 выполнять обработку файлов, полученных только из доверенных источников - Обеспечить возможность запуска По Exiv2 только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Включить режим замкнутой программной среды Astra Linux 1.7 libx11 LookupCol.c in X.Org X through X11R7.7 and libX11 before 1.7.1 might allow remote attackers to execute arbitrary code. The libX11 XLookupColor request (intended for server-side color lookup) contains a flaw allowing a client to send color-name requests with a name longer than the maximum size allowed by the protocol (and also longer than the maximum packet size for normal-sized packets). The user-controlled data exceeding the maximum size is then interpreted by the server as additional X protocol requests and executed, e.g., to disable X server authorization completely. For example, if the victim encounters malicious terminal control sequences for color codes, then the attacker may be able to take full control of the running graphical session. [NistCWE(cwe='CWE-120')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:P/A:P', score=7.5) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) Astra Linux 1.7 apache2 Apache HTTP Server protocol handler for the HTTP/2 protocol checks received request headers against the size limitations as configured for the server and used for the HTTP/1 protocol as well. On violation of these restrictions and HTTP response is sent to the client with a status code indicating why the request was rejected. This rejection response was not fully initialised in the HTTP/2 protocol handler if the offending header was the very first one received or appeared in a a footer. This led to a NULL pointer dereference on initialised memory, crashing reliably the child process. Since such a triggering HTTP/2 request is easy to craft and submit, this can be exploited to DoS the server. This issue affected mod_http2 1.15.17 and Apache HTTP Server version 2.4.47 only. Apache HTTP Server 2.4.47 was never released. [NistCWE(cwe='CWE-476'), NistCWE(cwe='CWE-476')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - Обеспечить возможность использования библиотеки libapache2-mod-nss только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 python2.7 Python 3.x through 3.9.1 has a buffer overflow in PyCArg_repr in _ctypes/callproc.c, which may lead to remote code execution in certain Python applications that accept floating-point numbers as untrusted input, as demonstrated by a 1e300 argument to c_double.from_param. This occurs because sprintf is used unsafely. [NistCWE(cwe='CWE-120'), NistCWE(cwe='CWE-120')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:P/A:P', score=7.5) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) - Удалить ПО python2.7, если оно не используется и не является зависимостью других пакетов - По возможности использовать python3.7 вместо python2.7; - При использовании ПО python выполнять обработку только доверенных файлов, полученных из доверенных источников - Запускать ПО в изолированной программной среде с применением инструмента Firejail - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.7 ruby2.5 In RDoc 3.11 through 6.x before 6.3.1, as distributed with Ruby through 3.0.1, it is possible to execute arbitrary code via | and tags in a filename. [NistCWE(cwe='CWE-78'), NistCWE(cwe='CWE-78')] NistCVSS2(cvss='AV:L/AC:M/Au:N/C:P/I:P/A:P', score=4.4) NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.0) - При использовании ПО Ruby выполнять обработку только доверенных файлов, полученных из доверенных источников - Запускайте Ruby-скрипты с минимально необходимыми правами доступа - Запускать ПО в изолированной программной среде с применением инструмента Firejail - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.7 squid An issue was discovered in Squid before 4.15 and 5.x before 5.0.6. Due to a memory-management bug, it is vulnerable to a Denial of Service attack (against all clients using the proxy) via HTTP Range request processing. [NistCWE(cwe='CWE-116')] NistCVSS2(cvss='AV:N/AC:L/Au:S/C:N/I:N/A:P', score=4.0) NistCVSS3(cvss='AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=6.5) - Исключить из автозапуска сетевой сервис - Обеспечить подключения пользователей к прокси серверу squid только по https протоколу - Использовать ПО squid только на низком или отдельно выделенном уровне целостности - Запускать ПО Squid с минимально необходимыми привилегиями - Используя полномочия администратора системы с высоким уровнем целостности, настройте конфигурационный файл Squid (/etc/squid/squid.conf): ``` # Разрешите доступ к прокси-серверу только с доверенных IP-адресов acl localnet src YOUR_TRUSTED_IP http_access allow localnet http_access deny all ``` - Настройте брандмауэр так, чтобы разрешать входящие подключения к Squid только с доверенных сетей, например: ``` sudo iptables -A INPUT -s YOUR_TRUSTED_IP -p tcp --dport 3128 -j ACCEPT sudo iptables -A INPUT -p tcp --dport 3128 -j DROP ``` - Ограничьте доступ к ненадёжным и недоверенным ресурсам с помощью белых или чёрных списков. Astra Linux 1.7 squid An issue was discovered in Squid before 4.15 and 5.x before 5.0.6. An integer overflow problem allows a remote server to achieve Denial of Service when delivering responses to HTTP Range requests. The issue trigger is a header that can be expected to exist in HTTP traffic without any malicious intent. [NistCWE(cwe='CWE-190')] NistCVSS2(cvss='AV:N/AC:L/Au:S/C:N/I:N/A:P', score=4.0) NistCVSS3(cvss='AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=6.5) - Исключить из автозапуска сетевой сервис - Обеспечить подключения пользователей к прокси серверу squid только по https протоколу - Использовать ПО squid только на низком или отдельно выделенном уровне целостности - Запускать ПО Squid с минимально необходимыми привилегиями - Используя полномочия администратора системы с высоким уровнем целостности, настройте конфигурационный файл Squid (/etc/squid/squid.conf): ``` # Разрешите доступ к прокси-серверу только с доверенных IP-адресов acl localnet src YOUR_TRUSTED_IP http_access allow localnet http_access deny all ``` - Настройте брандмауэр так, чтобы разрешать входящие подключения к Squid только с доверенных сетей, например: ``` sudo iptables -A INPUT -s YOUR_TRUSTED_IP -p tcp --dport 3128 -j ACCEPT sudo iptables -A INPUT -p tcp --dport 3128 -j DROP ``` - Ограничьте доступ к ненадёжным и недоверенным ресурсам с помощью белых или чёрных списков. Astra Linux 1.7 squid An issue was discovered in Squid before 4.15 and 5.x before 5.0.6. Due to an input-validation bug, it is vulnerable to a Denial of Service attack (against all clients using the proxy). A client sends an HTTP Range request to trigger this. [NistCWE(cwe='CWE-190')] NistCVSS2(cvss='AV:N/AC:L/Au:S/C:N/I:N/A:P', score=4.0) NistCVSS3(cvss='AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=6.5) - Исключить из автозапуска сетевой сервис - Обеспечить подключения пользователей к прокси серверу squid только по https протоколу - Использовать ПО squid только на низком или отдельно выделенном уровне целостности - Запускать ПО Squid с минимально необходимыми привилегиями - Используя полномочия администратора системы с высоким уровнем целостности, настройте конфигурационный файл Squid (/etc/squid/squid.conf): ``` # Разрешите доступ к прокси-серверу только с доверенных IP-адресов acl localnet src YOUR_TRUSTED_IP http_access allow localnet http_access deny all ``` - Настройте брандмауэр так, чтобы разрешать входящие подключения к Squid только с доверенных сетей, например: ``` sudo iptables -A INPUT -s YOUR_TRUSTED_IP -p tcp --dport 3128 -j ACCEPT sudo iptables -A INPUT -p tcp --dport 3128 -j DROP ``` - Ограничьте доступ к ненадёжным и недоверенным ресурсам с помощью белых или чёрных списков. Astra Linux 1.7 linux kernel/bpf/verifier.c in the Linux kernel through 5.12.1 performs undesirable speculative loads, leading to disclosure of stack content via side-channel attacks, aka CID-801c6058d14a. The specific concern is not protecting the BPF stack area against speculative loads. Also, the BPF stack can contain uninitialized data that might represent sensitive information previously operated on by the kernel. [NistCWE(cwe='CWE-863')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:P/I:N/A:N', score=2.1) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 klibc An issue was discovered in klibc before 2.0.9. Multiplication in the calloc() function may result in an integer overflow and a subsequent heap buffer overflow. [NistCWE(cwe='CWE-190')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:P/A:P', score=7.5) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) Astra Linux 1.7 klibc An issue was discovered in klibc before 2.0.9. An integer overflow in the cpio command may result in a NULL pointer dereference on 64-bit systems. [NistCWE(cwe='CWE-190')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) Astra Linux 1.7 klibc An issue was discovered in klibc before 2.0.9. Multiple possible integer overflows in the cpio command on 32-bit systems may result in a buffer overflow or other security impact. [NistCWE(cwe='CWE-190')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:P/A:P', score=7.5) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) Astra Linux 1.7 klibc An issue was discovered in klibc before 2.0.9. Additions in the malloc() function may result in an integer overflow and a subsequent heap buffer overflow. [NistCWE(cwe='CWE-190')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:P/A:P', score=7.5) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) Astra Linux 1.7 linux An out-of-bounds (OOB) memory write flaw was found in list_devices in drivers/md/dm-ioctl.c in the Multi-device driver module in the Linux kernel before 5.12. A bound check failure allows an attacker with special user (CAP_SYS_ADMIN) privilege to gain access to out-of-bounds memory leading to a system crash or a leak of internal kernel information. The highest threat from this vulnerability is to system availability. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:P/I:P/A:C', score=6.1) NistCVSS3(cvss='AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H', score=6.7) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 ruby2.5, jruby An issue was discovered in Ruby through 2.6.7, 2.7.x through 2.7.3, and 3.x through 3.0.1. Net::IMAP does not raise an exception when StartTLS fails with an an unknown response, which might allow man-in-the-middle attackers to bypass the TLS protections by leveraging a network position between the client and the registry to block the StartTLS command, aka a "StartTLS stripping attack." [NistCWE(cwe='CWE-755')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:N', score=5.8) NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N', score=7.4) Astra Linux 1.7 linux net/bluetooth/hci_request.c in the Linux kernel through 5.12.2 has a race condition for removal of the HCI controller. [NistCWE(cwe='CWE-362')] NistCVSS2(cvss='AV:L/AC:M/Au:N/C:P/I:P/A:P', score=4.4) NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.0) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 libsndfile A heap buffer overflow vulnerability in msadpcm_decode_block of libsndfile 1.0.30 allows attackers to execute arbitrary code via a crafted WAV file. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) Astra Linux 1.7 node-tar The npm package "tar" (aka node-tar) before versions 6.1.2, 5.0.7, 4.4.15, and 3.2.3 has an arbitrary File Creation/Overwrite vulnerability via insufficient symlink protection. `node-tar` aims to guarantee that any file whose location would be modified by a symbolic link is not extracted. This is, in part, achieved by ensuring that extracted directories are not symlinks. Additionally, in order to prevent unnecessary `stat` calls to determine whether a given path is a directory, paths are cached when directories are created. This logic was insufficient when extracting tar files that contained both a directory and a symlink with the same name as the directory. This order of operations resulted in the directory being created and added to the `node-tar` directory cache. When a directory is present in the directory cache, subsequent calls to mkdir for that directory are skipped. However, this is also where `node-tar` checks for symlinks occur. By first creating a directory, and then replacing that directory with a symlink, it was thus possible to bypass `node-tar` symlink checks on directories, essentially allowing an untrusted tar file to symlink into an arbitrary location and subsequently extracting arbitrary files into that location, thus allowing arbitrary file creation and overwrite. This issue was addressed in releases 3.2.3, 4.4.15, 5.0.7 and 6.1.2. [NistCWE(cwe='CWE-22'), NistCWE(cwe='CWE-59')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:P', score=5.8) NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N', score=8.2) - Удалить ПО node-tar-fs, если оно не используется и не является зависимостью других пакетов - Отказаться от использования ПО node-tar-fs - При использовании ПО node-tar-fs выполнять обработку файлов, полученных только из доверенных источников. - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.7 node-tar The npm package "tar" (aka node-tar) before versions 6.1.1, 5.0.6, 4.4.14, and 3.3.2 has a arbitrary File Creation/Overwrite vulnerability due to insufficient absolute path sanitization. node-tar aims to prevent extraction of absolute file paths by turning absolute paths into relative paths when the `preservePaths` flag is not set to `true`. This is achieved by stripping the absolute path root from any absolute file paths contained in a tar file. For example `/home/user/.bashrc` would turn into `home/user/.bashrc`. This logic was insufficient when file paths contained repeated path roots such as `////home/user/.bashrc`. `node-tar` would only strip a single path root from such paths. When given an absolute file path with repeating path roots, the resulting path (e.g. `///home/user/.bashrc`) would still resolve to an absolute path, thus allowing arbitrary file creation and overwrite. This issue was addressed in releases 3.2.2, 4.4.14, 5.0.6 and 6.1.1. Users may work around this vulnerability without upgrading by creating a custom `onentry` method which sanitizes the `entry.path` or a `filter` method which removes entries with absolute paths. See referenced GitHub Advisory for details. Be aware of CVE-2021-32803 which fixes a similar bug in later versions of tar. [NistCWE(cwe='CWE-22'), NistCWE(cwe='CWE-22')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:P', score=5.8) NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N', score=8.2) - Удалить ПО node-tar-fs, если оно не используется и не является зависимостью других пакетов - Отказаться от использования ПО node-tar-fs - При использовании ПО node-tar-fs выполнять обработку файлов, полученных только из доверенных источников. - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.7 firefox crossbeam-deque is a package of work-stealing deques for building task schedulers when programming in Rust. In versions prior to 0.7.4 and 0.8.0, the result of the race condition is that one or more tasks in the worker queue can be popped twice instead of other tasks that are forgotten and never popped. If tasks are allocated on the heap, this can cause double free and a memory leak. If not, this still can cause a logical bug. Crates using `Stealer::steal`, `Stealer::steal_batch`, or `Stealer::steal_batch_and_pop` are affected by this issue. This has been fixed in crossbeam-deque 0.8.1 and 0.7.4. [NistCWE(cwe='CWE-362'), NistCWE(cwe='CWE-362')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 linux The Linux kernel before 5.11.14 has a use-after-free in cipso_v4_genopt in net/ipv4/cipso_ipv4.c because the CIPSO and CALIPSO refcounting for the DOI definitions is mishandled, aka CID-ad5d07f4a9cd. This leads to writing an arbitrary value. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:P/I:P/A:P', score=4.6) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel before 5.12.4, net/bluetooth/hci_event.c has a use-after-free when destroying an hci_chan, aka CID-5c4c8c954409. This leads to writing an arbitrary value. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:P/I:P/A:P', score=4.6) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 tomcat9 Apache Tomcat 10.0.0-M1 to 10.0.6, 9.0.0.M1 to 9.0.46 and 8.5.0 to 8.5.66 did not correctly parse the HTTP transfer-encoding request header in some circumstances leading to the possibility to request smuggling when used with a reverse proxy. Specifically: - Tomcat incorrectly ignored the transfer encoding header if the client declared it would only accept an HTTP/1.0 response; - Tomcat honoured the identify encoding; and - Tomcat did not ensure that, if present, the chunked encoding was the final encoding. [NistCWE(cwe='CWE-444'), NistCWE(cwe='CWE-444')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:P/A:N', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N', score=5.3) - Запускать ПО tomcat в изолированной программной среде - Включить режим замкнутой программной среды - Включить мандатный контроль целостности (МКЦ) - Включить межсетевой экран ufw; - Не запускайте Tomcat от имени пользователя Root. Для этого создайте пользователя для запуска службы Tomcat: ``` sudo useradd -m -U -d /home/tomcat -s $(which false) tomcat ``` Измените право собственности на созданного пользователя tomcat: ``` chown -R tomcat:tomcat /home/tomcat ``` - Запускайте сервер Apache Tomcat с помощью Security Manager. Это предотвращает запуск недоверенных апплетов в браузере - Измените процедуру выключения Tomcat. Это поможет предотвратить отключение служб Tomcat злоумышленниками. Для этого отредактируйте файл server.xml и удалите следующий блок: ``` <Server port=“8005” shutdown=“SHUTDOWN”> ``` Если вы хотите сохранить команду shutdown, измените порт и команду по умолчанию: ``` <Server port="5800" shutdown="KILLME"> ``` - Добавьте флаги Secure и HttpOnly. Отредактируйте файл web.xml и добавьте следующие записи в блок <cookie-config>: ``` <http-only>true</http-only> <secure>true</secure> </cookie-config> ``` Astra Linux 1.7 linux Improper input validation in the Intel(R) Ethernet ixgbe driver for Linux before version 3.17.3 may allow an authenticated user to potentially enable denial of service via local access. [NistCWE(cwe='CWE-20')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:N/I:N/A:C', score=4.9) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 ntfs-3g In NTFS-3G versions < 2021.8.22, when a specially crafted NTFS attribute is supplied to the function ntfs_get_attribute_value, a heap buffer overflow can occur allowing for memory disclosure or denial of service. The vulnerability is caused by an out-of-bound buffer access which can be triggered by mounting a crafted ntfs partition. The root cause is a missing consistency check after reading an MFT record : the "bytes_in_use" field should be less than the "bytes_allocated" field. When it is not, the parsing of the records proceeds into the wild. [NistCWE(cwe='CWE-787'), NistCWE(cwe='CWE-20')] NistCVSS2(cvss='AV:L/AC:M/Au:N/C:C/I:C/A:C', score=6.9) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) Astra Linux 1.7 ntfs-3g In NTFS-3G versions < 2021.8.22, when a specially crafted unicode string is supplied in an NTFS image a heap buffer overflow can occur and allow for code execution. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:L/AC:M/Au:N/C:C/I:C/A:C', score=6.9) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) Astra Linux 1.7 ntfs-3g In NTFS-3G versions < 2021.8.22, when specially crafted NTFS attributes are read in the function ntfs_attr_pread_i, a heap buffer overflow can occur and allow for writing to arbitrary memory or denial of service of the application. [NistCWE(cwe='CWE-787'), NistCWE(cwe='CWE-20')] NistCVSS2(cvss='AV:L/AC:M/Au:N/C:C/I:C/A:C', score=6.9) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) Astra Linux 1.7 ntfs-3g In NTFS-3G versions < 2021.8.22, when a specially crafted MFT section is supplied in an NTFS image a heap buffer overflow can occur and allow for code execution. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:L/AC:M/Au:N/C:C/I:C/A:C', score=6.9) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) Astra Linux 1.7 linux nbd_add_socket in drivers/block/nbd.c in the Linux kernel through 5.10.12 has an ndb_queue_rq use-after-free that could be triggered by local attackers (with access to the nbd device) via an I/O request at a certain point during device setup, aka CID-b98e762e3d71. [NistCWE(cwe='CWE-362')] NistCVSS2(cvss='AV:L/AC:M/Au:N/C:P/I:P/A:P', score=4.4) NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.0) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 squid Squid before 4.15 and 5.x before 5.0.6 allows remote servers to cause a denial of service (affecting availability to all clients) via an HTTP response. The issue trigger is a header that can be expected to exist in HTTP traffic without any malicious intent by the server. [NistCWE(cwe='CWE-20')] NistCVSS2(cvss='AV:N/AC:L/Au:S/C:N/I:N/A:P', score=4.0) NistCVSS3(cvss='AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=6.5) - Исключить из автозапуска сетевой сервис - Обеспечить подключения пользователей к прокси серверу squid только по https протоколу - Использовать ПО squid только на низком или отдельно выделенном уровне целостности - Запускать ПО Squid с минимально необходимыми привилегиями - Используя полномочия администратора системы с высоким уровнем целостности, настройте конфигурационный файл Squid (/etc/squid/squid.conf): ``` # Разрешите доступ к прокси-серверу только с доверенных IP-адресов acl localnet src YOUR_TRUSTED_IP http_access allow localnet http_access deny all ``` - Настройте брандмауэр так, чтобы разрешать входящие подключения к Squid только с доверенных сетей, например: ``` sudo iptables -A INPUT -s YOUR_TRUSTED_IP -p tcp --dport 3128 -j ACCEPT sudo iptables -A INPUT -p tcp --dport 3128 -j DROP ``` - Ограничьте доступ к ненадёжным и недоверенным ресурсам с помощью белых или чёрных списков. Astra Linux 1.7 connman ConnMan (aka Connection Manager) 1.30 through 1.39 has a stack-based buffer overflow in uncompress in dnsproxy.c via NAME, RDATA, or RDLENGTH (for A or AAAA). [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:P/A:P', score=7.5) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) Astra Linux 1.7 linux fs/seq_file.c in the Linux kernel 3.16 through 5.13.x before 5.13.4 does not properly restrict seq buffer allocations, leading to an integer overflow, an Out-of-bounds Write, and escalation to root by an unprivileged user, aka CID-8cae8cd89f05. [NistCWE(cwe='CWE-190')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:C/I:C/A:C', score=7.2) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 systemd basic/unit-name.c in systemd prior to 246.15, 247.8, 248.5, and 249.1 has a Memory Allocation with an Excessive Size Value (involving strdupa and alloca for a pathname controlled by a local attacker) that results in an operating system crash. [NistCWE(cwe='CWE-770'), NistCWE(cwe='CWE-770')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:N/I:N/A:C', score=4.9) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Использовать ПО python-systemd только на низком или отдельно выделенном уровне целостности - При использовании ПО python-systemd выполнять обработку файлов, полученных только из доверенных источников - Обеспечить возможность запуска python-systemd только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.7 jetty9 For Eclipse Jetty versions <= 9.4.40, <= 10.0.2, <= 11.0.2, if an exception is thrown from the SessionListener#sessionDestroyed() method, then the session ID is not invalidated in the session ID manager. On deployments with clustered sessions and multiple contexts this can result in a session not being invalidated. This can result in an application used on a shared computer being left logged in. [NistCWE(cwe='CWE-613'), NistCWE(cwe='CWE-613')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:P/I:P/A:N', score=3.6) NistCVSS3(cvss='AV:P/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:N', score=2.9) - Удалить ПО jetty9, если оно не используется и не является зависимостью других пакетов - Отказаться от использования ПО jetty9 - Обеспечить возможность запуска ПО jetty9 только доверенными пользователями ОС - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.7 linux The bpf verifier in the Linux kernel did not properly handle mod32 destination register truncation when the source register was known to be 0. A local attacker with the ability to load bpf programs could use this gain out-of-bounds reads in kernel memory leading to information disclosure (kernel memory), and possibly out-of-bounds writes that could potentially lead to code execution. This issue was addressed in the upstream kernel in commit 9b00f1b78809 ("bpf: Fix truncation handling for mod32 dst reg wrt zero") and in Linux stable kernels 5.11.2, 5.10.19, and 5.4.101. [NistCWE(cwe='CWE-681'), NistCWE(cwe='CWE-125')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:P/I:P/A:P', score=4.6) NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux net/can/bcm.c in the Linux kernel through 5.12.10 allows local users to obtain sensitive information from kernel stack memory because parts of a data structure are uninitialized. [NistCWE(cwe='CWE-909')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:P/I:N/A:N', score=2.1) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 apache2 Malformed requests may cause the server to dereference a NULL pointer. This issue affects Apache HTTP Server 2.4.48 and earlier. [NistCWE(cwe='CWE-476'), NistCWE(cwe='CWE-476')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - Обеспечить возможность использования библиотеки libapache2-mod-nss только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 exiv2 A flaw was found in Exiv2 in versions before and including 0.27.4-RC1. Improper input validation of the rawData.size property in Jp2Image::readMetadata() in jp2image.cpp can lead to a heap-based buffer overflow via a crafted JPG image containing malicious EXIF data. [NistCWE(cwe='CWE-20'), NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:N/A:P', score=6.4) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:L', score=6.5) - Использовать ПО exiv2 только на низком или отдельно выделенном уровне целостности - При использовании ПО Exiv2 выполнять обработку файлов, полученных только из доверенных источников - Обеспечить возможность запуска По Exiv2 только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Включить режим замкнутой программной среды Astra Linux 1.7 linux A flaw was found in the Nosy driver in the Linux kernel. This issue allows a device to be inserted twice into a doubly-linked list, leading to a use-after-free when one of these devices is removed. The highest threat from this vulnerability is to confidentiality, integrity, as well as system availability. Versions before kernel 5.12-rc6 are affected [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:P/I:P/A:P', score=4.6) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux Shiftfs, an out-of-tree stacking file system included in Ubuntu Linux kernels, did not properly handle faults occurring during copy_from_user() correctly. These could lead to either a double-free situation or memory not being freed at all. An attacker could use this to cause a denial of service (kernel memory exhaustion) or gain privileges via executing arbitrary code. AKA ZDI-CAN-13562. [NistCWE(cwe='CWE-401'), NistCWE(cwe='CWE-401')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:C/I:C/A:C', score=7.2) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H', score=8.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux The overlayfs implementation in the linux kernel did not properly validate with respect to user namespaces the setting of file capabilities on files in an underlying file system. Due to the combination of unprivileged user namespaces along with a patch carried in the Ubuntu kernel to allow unprivileged overlay mounts, an attacker could use this to gain elevated privileges. [NistCWE(cwe='CWE-270'), NistCWE(cwe='CWE-863')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:C/I:C/A:C', score=7.2) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H', score=8.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux Linux Kernel Bluetooth CMTP Module Double Free Privilege Escalation Vulnerability. This vulnerability allows local attackers to escalate privileges on affected installations of Linux Kernel. An attacker must first obtain the ability to execute high-privileged code on the target system in order to exploit this vulnerability. The specific flaw exists within the CMTP module. The issue results from the lack of validating the existence of an object prior to performing further free operations on the object. An attacker can leverage this vulnerability to escalate privileges and execute code in the context of the kernel. Was ZDI-CAN-11977. [NistCWE(cwe='CWE-415')] None NistCVSS3(cvss='AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H', score=7.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux An out-of-bounds (OOB) memory access flaw was found in fs/f2fs/node.c in the f2fs module in the Linux kernel in versions before 5.12.0-rc4. A bounds check failure allows a local attacker to gain access to out-of-bounds memory leading to a system crash or a leak of internal kernel information. The highest threat from this vulnerability is to system availability. [NistCWE(cwe='CWE-125'), NistCWE(cwe='CWE-125')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:P/I:N/A:C', score=5.6) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H', score=7.1) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 ceph A flaw was found in Red Hat Ceph Storage 4, in the Dashboard component. In response to CVE-2020-27839, the JWT token was moved from localStorage to an httpOnly cookie. However, token cookies are used in the body of the HTTP response for the documentation, which again makes it available to XSS.The greatest threat to the system is for confidentiality, integrity, and availability. [NistCWE(cwe='CWE-79')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N', score=6.1) - Используя брандмауэр, ограничьте все входящие соединения, кроме необходимых для Ceph и администрирования - Используйте аутентификацию по SSH-ключам - Ограничьте пользователей, которые могут подключаться через SSH - Включите шифрование трафика между клиентами и серверами - Включите Cephx - Установите строгие права доступа на файлы с ключами Ceph - Создавайте пользователей Ceph с минимально необходимыми правами Astra Linux 1.7 libxml2 There's a flaw in libxml2's xmllint in versions before 2.9.11. An attacker who is able to submit a crafted file to be processed by xmllint could trigger a use-after-free. The greatest impact of this flaw is to confidentiality, integrity, and availability. [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=7.8) - Удалить ПО libxml2, если оно не используется и не является зависимостью других пакетов - Отказаться от использования библиотеки libxml2 в пользу ПО expat или libxmltok - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.7 libxml2 There is a flaw in the xml entity encoding functionality of libxml2 in versions before 2.9.11. An attacker who is able to supply a crafted file to be processed by an application linked with the affected functionality of libxml2 could trigger an out-of-bounds read. The most likely impact of this flaw is to application availability, with some potential impact to confidentiality and integrity if an attacker is able to use memory information to further exploit the application. [NistCWE(cwe='CWE-787'), NistCWE(cwe='CWE-787'), NistCWE(cwe='CWE-125')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:P/A:P', score=7.5) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H', score=8.6) - Удалить ПО libxml2, если оно не используется и не является зависимостью других пакетов - Отказаться от использования библиотеки libxml2 в пользу ПО expat или libxmltok - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.7 libxml2 There's a flaw in libxml2 in versions before 2.9.11. An attacker who is able to submit a crafted file to be processed by an application linked with libxml2 could trigger a use-after-free. The greatest impact from this flaw is to confidentiality, integrity, and availability. [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) - Удалить ПО libxml2, если оно не используется и не является зависимостью других пакетов - Отказаться от использования библиотеки libxml2 в пользу ПО expat или libxmltok - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.7 lz4 There's a flaw in lz4. An attacker who submits a crafted file to an application linked with lz4 may be able to trigger an integer overflow, leading to calling of memmove() on a negative size argument, causing an out-of-bounds write and/or a crash. The greatest impact of this flaw is to availability, with some potential impact to confidentiality and integrity as well. [NistCWE(cwe='CWE-190'), NistCWE(cwe='CWE-190')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:P/A:P', score=7.5) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) - Использовать ПО python-lz4 только на низком или отдельно выделенном уровне целостности - При использовании ПО python-lz4 выполнять обработку файлов, полученных только из доверенных источников - Обеспечить возможность запуска python-lz4 только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.7 ceph A flaw was found in the Red Hat Ceph Storage RadosGW (Ceph Object Gateway) in versions before 14.2.21. The vulnerability is related to the injection of HTTP headers via a CORS ExposeHeader tag. The newline character in the ExposeHeader tag in the CORS configuration file generates a header injection in the response when the CORS request is made. In addition, the prior bug fix for CVE-2020-10753 did not account for the use of \r as a header separator, thus a new flaw has been created. [NistCWE(cwe='CWE-20'), NistCWE(cwe='CWE-74')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N', score=6.5) - Используя брандмауэр, ограничьте все входящие соединения, кроме необходимых для Ceph и администрирования - Используйте аутентификацию по SSH-ключам - Ограничьте пользователей, которые могут подключаться через SSH - Включите шифрование трафика между клиентами и серверами - Включите Cephx - Установите строгие права доступа на файлы с ключами Ceph - Создавайте пользователей Ceph с минимально необходимыми правами Astra Linux 1.7 ntfs-3g In NTFS-3G versions < 2021.8.22, when a specially crafted NTFS inode pathname is supplied in an NTFS image a heap buffer overflow can occur resulting in memory disclosure, denial of service and even code execution. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:L/AC:M/Au:N/C:C/I:C/A:C', score=6.9) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) Astra Linux 1.7 ntfs-3g NTFS-3G versions < 2021.8.22, a stack buffer overflow can occur when correcting differences in the MFT and MFTMirror allowing for code execution or escalation of privileges when setuid-root. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:L/AC:M/Au:N/C:C/I:C/A:C', score=6.9) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) Astra Linux 1.7 ntfs-3g In NTFS-3G versions < 2021.8.22, when a specially crafted NTFS inode is loaded in the function ntfs_inode_real_open, a heap buffer overflow can occur allowing for code execution and escalation of privileges. [NistCWE(cwe='CWE-787'), NistCWE(cwe='CWE-20')] NistCVSS2(cvss='AV:L/AC:M/Au:N/C:C/I:C/A:C', score=6.9) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) Astra Linux 1.7 ntfs-3g NTFS-3G versions < 2021.8.22, when a specially crafted NTFS attribute from the MFT is setup in the function ntfs_attr_setup_flag, a heap buffer overflow can occur allowing for code execution and escalation of privileges. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:L/AC:M/Au:N/C:C/I:C/A:C', score=6.9) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) Astra Linux 1.7 ceph A flaw was found in the Red Hat Ceph Storage RGW in versions before 14.2.21. When processing a GET Request for a swift URL that ends with two slashes it can cause the rgw to crash, resulting in a denial of service. The greatest threat to the system is of availability. [NistCWE(cwe='CWE-20'), NistCWE(cwe='CWE-617')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L', score=5.3) - Используя брандмауэр, ограничьте все входящие соединения, кроме необходимых для Ceph и администрирования - Используйте аутентификацию по SSH-ключам - Ограничьте пользователей, которые могут подключаться через SSH - Включите шифрование трафика между клиентами и серверами - Включите Cephx - Установите строгие права доступа на файлы с ключами Ceph - Создавайте пользователей Ceph с минимально необходимыми правами Astra Linux 1.7 libxml2 A vulnerability found in libxml2 in versions before 2.9.11 shows that it did not propagate errors while parsing XML mixed content, causing a NULL dereference. If an untrusted XML document was parsed in recovery mode and post-validated, the flaw could be used to crash the application. The highest threat from this vulnerability is to system availability. [NistCWE(cwe='CWE-476'), NistCWE(cwe='CWE-476')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:N/A:P', score=4.3) NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H', score=5.9) - Удалить ПО libxml2, если оно не используется и не является зависимостью других пакетов - Отказаться от использования библиотеки libxml2 в пользу ПО expat или libxmltok - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.7 libxml2 A flaw was found in libxml2. Exponential entity expansion attack its possible bypassing all existing protection mechanisms and leading to denial of service. [NistCWE(cwe='CWE-776')] NistCVSS2(cvss='AV:N/AC:L/Au:S/C:N/I:N/A:P', score=4.0) NistCVSS3(cvss='AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=6.5) - Удалить ПО libxml2, если оно не используется и не является зависимостью других пакетов - Отказаться от использования библиотеки libxml2 в пользу ПО expat или libxmltok - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.7 fig2dev An Out of Bounds flaw was found fig2dev version 3.2.8a. A flawed bounds check in read_objects() could allow an attacker to provide a crafted malicious input causing the application to either crash or in some cases cause memory corruption. The highest threat from this vulnerability is to integrity as well as system availability. [NistCWE(cwe='CWE-119'), NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:P', score=5.8) NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H', score=7.1) Astra Linux 1.7 linux A flaw double-free memory corruption in the Linux kernel HCI device initialization subsystem was found in the way user attach malicious HCI TTY Bluetooth device. A local user could use this flaw to crash the system. This flaw affects all the Linux kernel versions starting from 3.13. [NistCWE(cwe='CWE-415'), NistCWE(cwe='CWE-415')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:N/I:N/A:P', score=2.1) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linuxptp A flaw was found in the ptp4l program of the linuxptp package. A missing length check when forwarding a PTP message between ports allows a remote attacker to cause an information leak, crash, or potentially remote code execution. The highest threat from this vulnerability is to data confidentiality and integrity as well as system availability. This flaw affects linuxptp versions before 3.1.1, before 2.0.1, before 1.9.3, before 1.8.1, before 1.7.1, before 1.6.1 and before 1.5.1. [NistCWE(cwe='CWE-119'), NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:L/Au:S/C:P/I:P/A:C', score=8.0) NistCVSS3(cvss='AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=8.8) Astra Linux 1.7 linux A use-after-free in function hci_sock_bound_ioctl() of the Linux kernel HCI subsystem was found in the way user calls ioct HCIUNBLOCKADDR or other way triggers race condition of the call hci_unregister_dev() together with one of the calls hci_sock_blacklist_add(), hci_sock_blacklist_del(), hci_get_conn_info(), hci_get_auth_info(). A privileged local user could use this flaw to crash the system or escalate their privileges on the system. This flaw affects the Linux kernel versions prior to 5.13-rc5. [NistCWE(cwe='CWE-362')] NistCVSS2(cvss='AV:L/AC:M/Au:N/C:C/I:C/A:C', score=6.9) NistCVSS3(cvss='AV:L/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H', score=6.4) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 nettle A flaw was found in the way nettle's RSA decryption functions handled specially crafted ciphertext. An attacker could use this flaw to provide a manipulated ciphertext leading to application crash and denial of service. [NistCWE(cwe='CWE-20'), NistCWE(cwe='CWE-20')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) Astra Linux 1.7 linux It was discovered that the eBPF implementation in the Linux kernel did not properly track bounds information for 32 bit registers when performing div and mod operations. A local attacker could use this to possibly execute arbitrary code. [NistCWE(cwe='CWE-125'), NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux .A flaw was found in the CAN BCM networking protocol in the Linux kernel, where a local attacker can abuse a flaw in the CAN subsystem to corrupt memory, crash the system or escalate privileges. This race condition in net/can/bcm.c in the Linux kernel allows for local privilege escalation to root. [NistCWE(cwe='CWE-362'), NistCWE(cwe='CWE-362')] NistCVSS2(cvss='AV:L/AC:M/Au:N/C:C/I:C/A:C', score=6.9) NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.0) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux An out-of-bounds memory write flaw was found in the Linux kernel's joystick devices subsystem in versions before 5.9-rc1, in the way the user calls ioctl JSIOCSBTNMAP. This flaw allows a local user to crash the system or possibly escalate their privileges on the system. The highest threat from this vulnerability is to confidentiality, integrity, as well as system availability. [NistCWE(cwe='CWE-20'), NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:C/I:C/A:C', score=7.2) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 apache2 A carefully crafted request uri-path can cause mod_proxy_uwsgi to read above the allocated memory and crash (DoS). This issue affects Apache HTTP Server versions 2.4.30 to 2.4.48 (inclusive). [NistCWE(cwe='CWE-125'), NistCWE(cwe='CWE-125')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - Обеспечить возможность использования библиотеки libapache2-mod-nss только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 mc An issue was discovered in Midnight Commander through 4.8.26. When establishing an SFTP connection, the fingerprint of the server is neither checked nor displayed. As a result, a user connects to the server without the ability to verify its authenticity. [NistCWE(cwe='CWE-287')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:P/A:N', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N', score=7.5) - Ограничьте доступ к memcached только доверенным IP-адресам - При использовании ПО memcached выполнять обработку файлов, полученных только из доверенных источников. - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов. Astra Linux 1.7 linux A NULL pointer dereference flaw was found in the Linux kernel’s IEEE 802.15.4 wireless networking subsystem in the way the user closes the LR-WPAN connection. This flaw allows a local user to crash the system. The highest threat from this vulnerability is to system availability. [NistCWE(cwe='CWE-252'), NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 c-ares A flaw was found in c-ares library, where a missing input validation check of host names returned by DNS (Domain Name Servers) can lead to output of wrong hostnames which might potentially lead to Domain Hijacking. The highest threat from this vulnerability is to confidentiality and integrity as well as system availability. [NistCWE(cwe='CWE-79'), NistCWE(cwe='CWE-79')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L', score=5.6) Astra Linux 1.7 openssl In order to decrypt SM2 encrypted data an application is expected to call the API function EVP_PKEY_decrypt(). Typically an application will call this function twice. The first time, on entry, the "out" parameter can be NULL and, on exit, the "outlen" parameter is populated with the buffer size required to hold the decrypted plaintext. The application can then allocate a sufficiently sized buffer and call EVP_PKEY_decrypt() again, but this time passing a non-NULL value for the "out" parameter. A bug in the implementation of the SM2 decryption code means that the calculation of the buffer size required to hold the plaintext returned by the first call to EVP_PKEY_decrypt() can be smaller than the actual size required by the second call. This can lead to a buffer overflow when EVP_PKEY_decrypt() is called by the application a second time with a buffer that is too small. A malicious attacker who is able present SM2 content for decryption to an application could cause attacker chosen data to overflow the buffer by up to a maximum of 62 bytes altering the contents of other data held after the buffer, possibly changing application behaviour or causing the application to crash. The location of the buffer is application dependent but is typically heap allocated. Fixed in OpenSSL 1.1.1l (Affected 1.1.1-1.1.1k). [NistCWE(cwe='CWE-120')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:P/A:P', score=7.5) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) - Использовать ПО pyopenssl только на низком или отдельно выделенном уровне целостности - При использовании ПО pyopenssl выполнять обработку файлов, полученных только из доверенных источников - Обеспечить возможность запуска py только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.7 openssl, openssl1.0 ASN.1 strings are represented internally within OpenSSL as an ASN1_STRING structure which contains a buffer holding the string data and a field holding the buffer length. This contrasts with normal C strings which are repesented as a buffer for the string data which is terminated with a NUL (0) byte. Although not a strict requirement, ASN.1 strings that are parsed using OpenSSL's own "d2i" functions (and other similar parsing functions) as well as any string whose value has been set with the ASN1_STRING_set() function will additionally NUL terminate the byte array in the ASN1_STRING structure. However, it is possible for applications to directly construct valid ASN1_STRING structures which do not NUL terminate the byte array by directly setting the "data" and "length" fields in the ASN1_STRING array. This can also happen by using the ASN1_STRING_set0() function. Numerous OpenSSL functions that print ASN.1 data have been found to assume that the ASN1_STRING byte array will be NUL terminated, even though this is not guaranteed for strings that have been directly constructed. Where an application requests an ASN.1 structure to be printed, and where that ASN.1 structure contains ASN1_STRINGs that have been directly constructed by the application without NUL terminating the "data" field, then a read buffer overrun can occur. The same thing can also occur during name constraints processing of certificates (for example if a certificate has been directly constructed by the application instead of loading it via the OpenSSL parsing functions, and the certificate contains non NUL terminated ASN1_STRING structures). It can also occur in the X509_get1_email(), X509_REQ_get1_email() and X509_get1_ocsp() functions. If a malicious actor can cause an application to directly construct an ASN1_STRING and then process it through one of the affected OpenSSL functions then this issue could be hit. This might result in a crash (causing a Denial of Service attack). It could also result in the disclosure of private memory contents (such as private keys, or sensitive plaintext). Fixed in OpenSSL 1.1.1l (Affected 1.1.1-1.1.1k). Fixed in OpenSSL 1.0.2za (Affected 1.0.2-1.0.2y). [NistCWE(cwe='CWE-125')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:N/A:P', score=5.8) NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:H', score=7.4) Astra Linux 1.7 linux An out-of-bounds (OOB) memory read flaw was found in the Qualcomm IPC router protocol in the Linux kernel. A missing sanity check allows a local attacker to gain access to out-of-bounds memory, leading to a system crash or a leak of internal kernel information. The highest threat from this vulnerability is to system availability. [NistCWE(cwe='CWE-125'), NistCWE(cwe='CWE-125')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:P/I:N/A:P', score=3.6) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H', score=7.1) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 chromium Use after free in WebGPU in Google Chrome prior to 94.0.4606.54 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Inappropriate implementation in Navigation in Google Chrome on Windows prior to 94.0.4606.54 allowed a remote attacker to inject scripts or HTML into a privileged page via a crafted HTML page. [] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:N', score=5.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N', score=5.4) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in Tab Strip in Google Chrome prior to 94.0.4606.54 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in Performance Manager in Google Chrome prior to 94.0.4606.54 allowed a remote attacker who had compromised the renderer process to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Side-channel information leakage in DevTools in Google Chrome prior to 94.0.4606.54 allowed a remote attacker to bypass site isolation via a crafted HTML page. [] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:N/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N', score=4.3) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Inappropriate implementation in Background Fetch API in Google Chrome prior to 94.0.4606.54 allowed a remote attacker to leak cross-origin data via a crafted HTML page. [] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:N/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N', score=4.3) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Inappropriate implementation in Background Fetch API in Google Chrome prior to 94.0.4606.54 allowed a remote attacker who had compromised the renderer process to leak cross-origin data via a crafted HTML page. [NistCWE(cwe='CWE-346')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:N/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N', score=4.3) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Inappropriate implementation in Background Fetch API in Google Chrome prior to 94.0.4606.54 allowed a remote attacker to leak cross-origin data via a crafted HTML page. [NistCWE(cwe='CWE-203')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:N/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N', score=4.3) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in File System API in Google Chrome prior to 94.0.4606.54 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Out of bounds read in libjpeg-turbo in Google Chrome prior to 94.0.4606.54 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-125')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in Portals in Google Chrome prior to 94.0.4606.61 allowed a remote attacker who had compromised the renderer process to potentially perform a sandbox escape via a crafted HTML page. [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H', score=9.6) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in Safebrowsing in Google Chrome prior to 94.0.4606.71 allowed a remote attacker who had compromised the renderer process to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in V8 in Google Chrome prior to 94.0.4606.71 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416'), NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Inappropriate implementation in Memory in Google Chrome prior to 94.0.4606.71 allowed a remote attacker to obtain potentially sensitive information from process memory via a crafted HTML page. [NistCWE(cwe='CWE-862'), NistCWE(cwe='CWE-862')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:N/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N', score=6.5) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in Garbage Collection in Google Chrome prior to 94.0.4606.81 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Heap buffer overflow in Blink in Google Chrome prior to 94.0.4606.81 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium heap buffer overflow in WebRTC in Google Chrome prior to 94.0.4606.81 allowed a remote attacker who convinced a user to browse to a malicious website to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in Dev Tools in Google Chrome prior to 95.0.4638.54 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Heap buffer overflow in PDFium in Google Chrome prior to 95.0.4638.54 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Heap buffer overflow in Settings in Google Chrome prior to 95.0.4638.54 allowed a remote attacker to engage with Dev Tools to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in Profiles in Google Chrome prior to 95.0.4638.54 allowed a remote attacker who convinced a user to engage in specific gestures to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Inappropriate implementation in Blink in Google Chrome prior to 95.0.4638.54 allowed a remote attacker to abuse content security policy via a crafted HTML page. [] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N', score=6.5) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Race in V8 in Google Chrome prior to 95.0.4638.54 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-362')] NistCVSS2(cvss='AV:N/AC:H/Au:N/C:P/I:P/A:P', score=5.1) NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H', score=7.5) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Out of bounds read in WebAudio in Google Chrome prior to 95.0.4638.54 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-125')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in PDF Accessibility in Google Chrome prior to 95.0.4638.54 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Inappropriate implementation in iFrame Sandbox in Google Chrome prior to 95.0.4638.54 allowed a remote attacker to bypass navigation restrictions via a crafted HTML page. [] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N', score=6.5) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Insufficient validation of untrusted input Downloads in Google Chrome prior to 95.0.4638.54 allowed a remote attacker to bypass navigation restrictions via a malicious file. [NistCWE(cwe='CWE-20')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N', score=5.5) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in Sign-In in Google Chrome prior to 95.0.4638.69 allowed a remote attacker who convinced a user to sign into Chrome to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in Garbage Collection in Google Chrome prior to 95.0.4638.69 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Insufficient data validation in New Tab Page in Google Chrome prior to 95.0.4638.69 allowed a remote attacker to inject arbitrary scripts or HTML in a new browser tab via a crafted HTML page. [NistCWE(cwe='CWE-79')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N', score=6.1) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Type confusion in V8 in Google Chrome prior to 95.0.4638.69 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-843')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Use after free in Web Transport in Google Chrome prior to 95.0.4638.69 allowed a remote attacker to potentially perform a sandbox escape via a crafted HTML page. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H', score=9.6) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Inappropriate implementation in V8 in Google Chrome prior to 95.0.4638.69 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. [NistCWE(cwe='CWE-755'), NistCWE(cwe='CWE-755')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 chromium Insufficient policy enforcement in Autofill in Google Chrome prior to 95.0.4638.69 allowed a remote attacker to leak cross-origin data via a crafted HTML page. [NistCWE(cwe='CWE-668')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:N/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N', score=4.3) 1. Удалить ПО Chromium, если оно не используется 2. Отказаться от использования ПО Chromium в пользу ПО Firefox 3. Обеспечить запуск ПО Chromium в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Chromium: - При использовании ПО Chromium выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Отключить JavaScript в браузере. Для этого выполните следующее: - Введите chrome://settings/content/javascript в адресную строку и нажмите Enter - Переключите разрешение на Запретить сайтам использовать JavaScript - Перезапустите Chromium - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Chromium только доверенными пользователями ОС - Обеспечить запуск ПО Chromium на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 node-ansi-regex ansi-regex is vulnerable to Inefficient Regular Expression Complexity [NistCWE(cwe='CWE-1333'), NistCWE(cwe='CWE-1333')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:C', score=7.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) Astra Linux 1.7 ffmpeg libavcodec/dnxhddec.c in FFmpeg 4.4 does not check the return value of the init_vlc function, a similar issue to CVE-2013-0868. [NistCWE(cwe='CWE-252')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:N/A:P', score=4.3) NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H', score=5.5) 1. Удалить ПО ffmpeg5, если оно не используется и не является зависимостью других пакетов 2. Отказаться от использования ПО ffmpeg5 в пользу ПО gstreamer 3. Соблюдайте следующие требования: - Использовать ПО ffmpeg5 только на низком или отдельно выделенном уровне целостности - При использовании ПО ffmpeg5 выполнять обработку файлов, полученных только из доверенных источников - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.7 lynx Lynx through 2.8.9 mishandles the userinfo subcomponent of a URI, which allows remote attackers to discover cleartext credentials because they may appear in SNI data. [NistCWE(cwe='CWE-522')] NistCVSS2(cvss='AV:N/AC:H/Au:N/C:P/I:N/A:N', score=2.6) NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:N/A:N', score=5.3) Astra Linux 1.7 ffmpeg adts_decode_extradata in libavformat/adtsenc.c in FFmpeg 4.4 does not check the init_get_bits return value, which is a necessary step because the second argument to init_get_bits can be crafted. [NistCWE(cwe='CWE-252')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:P/A:P', score=7.5) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) 1. Удалить ПО ffmpeg5, если оно не используется и не является зависимостью других пакетов 2. Отказаться от использования ПО ffmpeg5 в пользу ПО gstreamer 3. Соблюдайте следующие требования: - Использовать ПО ffmpeg5 только на низком или отдельно выделенном уровне целостности - При использовании ПО ffmpeg5 выполнять обработку файлов, полученных только из доверенных источников - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.7 linux net/nfc/llcp_sock.c in the Linux kernel before 5.12.10 allows local unprivileged users to cause a denial of service (NULL pointer dereference and BUG) by making a getsockname call after a certain type of failure of a bind call. [NistCWE(cwe='CWE-476')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:N/I:N/A:P', score=2.1) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 ffmpeg FFmpeg version (git commit de8e6e67e7523e48bb27ac224a0b446df05e1640) suffers from a an assertion failure at src/libavutil/mathematics.c. [NistCWE(cwe='CWE-617')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) 1. Удалить ПО ffmpeg5, если оно не используется и не является зависимостью других пакетов 2. Отказаться от использования ПО ffmpeg5 в пользу ПО gstreamer 3. Соблюдайте следующие требования: - Использовать ПО ffmpeg5 только на низком или отдельно выделенном уровне целостности - При использовании ПО ffmpeg5 выполнять обработку файлов, полученных только из доверенных источников - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash - Запретить установку бита исполнения для всех пользователей, включая администраторов - Включить режим замкнутой программной среды Astra Linux 1.7 firefox Mixed-content checks were unable to analyze opaque origins which led to some mixed content being loaded. This vulnerability affects Firefox < 92. [] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N', score=6.5) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 firefox, thunderbird Mozilla developers reported memory safety bugs present in Firefox 91 and Firefox ESR 78.13. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code. This vulnerability affects Firefox ESR < 78.14, Thunderbird < 78.14, and Firefox < 92. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) Astra Linux 1.7 firefox Mozilla developers reported memory safety bugs present in Firefox 91. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code. This vulnerability affects Firefox < 92. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 thunderbird Mozilla developers reported memory safety bugs present in Thunderbird 78.13.0. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code. This vulnerability affects Thunderbird < 91.1 and Firefox ESR < 91.1. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Thunderbird, если оно не используется 2. Отказаться от использования ПО Thunderbird в пользу ПО Evolution 3. Обеспечить запуск ПО Thunderbird в изолированной программной среде с применением инструмента Firejail Astra Linux 1.7 firefox, thunderbird During operations on MessageTasks, a task may have been removed while it was still scheduled, resulting in memory corruption and a potentially exploitable crash. This vulnerability affects Thunderbird < 78.15, Thunderbird < 91.2, Firefox ESR < 91.2, Firefox ESR < 78.15, and Firefox < 93. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) Astra Linux 1.7 firefox, thunderbird Through use of reportValidity() and window.open(), a plain-text validation message could have been overlaid on another origin, leading to possible user confusion and spoofing attacks. This vulnerability affects Firefox < 93, Thunderbird < 91.2, and Firefox ESR < 91.2. [NistCWE(cwe='CWE-346')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:N', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N', score=6.5) Astra Linux 1.7 firefox, thunderbird During process shutdown, a document could have caused a use-after-free of a languages service object, leading to memory corruption and a potentially exploitable crash. This vulnerability affects Firefox < 93, Thunderbird < 91.2, and Firefox ESR < 91.2. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) Astra Linux 1.7 firefox Mozilla developers reported memory safety bugs present in Firefox 92. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code. This vulnerability affects Firefox < 93. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) 1. Удалить ПО Firefox ESR, если оно не используется 2. Отказаться от использования ПО Firefox ESR в пользу ПО Chromium 3. Обеспечить запуск ПО Firefox ESR в изолированной программной среде с применением инструмента Firejail 4. Выполнить безопасную настройку Firefox ESR: - При использовании ПО Firefox ESR выполнять обработку файлов и ссылок, полученных только из доверенных источников - Отказаться от установки и использования недоверенных расширений - Настроить брандмауэр или сетевые политики для ограничения доступа к подозрительным ресурсам - Обеспечить возможность запуска ПО Firefox ESR только доверенными пользователями ОС - Обеспечить запуск ПО Firefox ESR на промежуточном (отличном от максимального) уровне целостности Astra Linux 1.7 firefox, thunderbird Mozilla developers reported memory safety bugs present in Firefox 92 and Firefox ESR 91.1. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code. This vulnerability affects Thunderbird < 78.15, Thunderbird < 91.2, Firefox ESR < 91.2, Firefox ESR < 78.15, and Firefox < 93. [] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) Astra Linux 1.7 firefox, thunderbird Mozilla developers reported memory safety bugs present in Firefox 92 and Firefox ESR 91.1. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code. This vulnerability affects Firefox < 93, Thunderbird < 91.2, and Firefox ESR < 91.2. [] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) Astra Linux 1.7 ntfs-3g A crafted NTFS image can cause a NULL pointer dereference in ntfs_extent_inode_open in NTFS-3G < 2021.8.22. [NistCWE(cwe='CWE-476'), NistCWE(cwe='CWE-20')] NistCVSS2(cvss='AV:L/AC:M/Au:N/C:C/I:C/A:C', score=6.9) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) Astra Linux 1.7 ntfs-3g A crafted NTFS image can cause an out-of-bounds read in ntfs_ie_lookup in NTFS-3G < 2021.8.22. [NistCWE(cwe='CWE-125'), NistCWE(cwe='CWE-20')] NistCVSS2(cvss='AV:L/AC:M/Au:N/C:C/I:C/A:C', score=6.9) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) Astra Linux 1.7 ntfs-3g A crafted NTFS image can cause an out-of-bounds read in ntfs_runlists_merge_i in NTFS-3G < 2021.8.22. [NistCWE(cwe='CWE-125'), NistCWE(cwe='CWE-20')] NistCVSS2(cvss='AV:L/AC:M/Au:N/C:C/I:C/A:C', score=6.9) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) Astra Linux 1.7 ntfs-3g A crafted NTFS image can cause an integer overflow in memmove, leading to a heap-based buffer overflow in the function ntfs_attr_record_resize, in NTFS-3G < 2021.8.22. [NistCWE(cwe='CWE-190'), NistCWE(cwe='CWE-20')] NistCVSS2(cvss='AV:L/AC:M/Au:N/C:C/I:C/A:C', score=6.9) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) Astra Linux 1.7 ntfs-3g A crafted NTFS image can trigger an out-of-bounds read, caused by an invalid attribute in ntfs_attr_find_in_attrdef, in NTFS-3G < 2021.8.22. [NistCWE(cwe='CWE-125'), NistCWE(cwe='CWE-20')] NistCVSS2(cvss='AV:L/AC:M/Au:N/C:C/I:C/A:C', score=6.9) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) Astra Linux 1.7 ntfs-3g A crafted NTFS image can cause a heap-based buffer overflow in ntfs_inode_lookup_by_name in NTFS-3G < 2021.8.22. [NistCWE(cwe='CWE-787'), NistCWE(cwe='CWE-20')] NistCVSS2(cvss='AV:L/AC:M/Au:N/C:C/I:C/A:C', score=6.9) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) Astra Linux 1.7 ntfs-3g A crafted NTFS image with an unallocated bitmap can lead to a endless recursive function call chain (starting from ntfs_attr_pwrite), causing stack consumption in NTFS-3G < 2021.8.22. [NistCWE(cwe='CWE-674')] NistCVSS2(cvss='AV:L/AC:M/Au:N/C:N/I:N/A:C', score=4.7) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) Astra Linux 1.7 ntfs-3g A crafted NTFS image can cause out-of-bounds reads in ntfs_attr_find and ntfs_external_attr_find in NTFS-3G < 2021.8.22. [NistCWE(cwe='CWE-125'), NistCWE(cwe='CWE-20')] NistCVSS2(cvss='AV:L/AC:M/Au:N/C:C/I:C/A:C', score=6.9) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) Astra Linux 1.7 ntfs-3g A crafted NTFS image can trigger an out-of-bounds access, caused by an unsanitized attribute length in ntfs_inode_lookup_by_name, in NTFS-3G < 2021.8.22. [NistCWE(cwe='CWE-787'), NistCWE(cwe='CWE-20')] NistCVSS2(cvss='AV:L/AC:M/Au:N/C:C/I:C/A:C', score=6.9) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) Astra Linux 1.7 ntfs-3g A crafted NTFS image can cause an out-of-bounds access in ntfs_inode_sync_standard_information in NTFS-3G < 2021.8.22. [NistCWE(cwe='CWE-787'), NistCWE(cwe='CWE-20')] NistCVSS2(cvss='AV:L/AC:M/Au:N/C:C/I:C/A:C', score=6.9) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) Astra Linux 1.7 ntfs-3g A crafted NTFS image can cause a heap-based buffer overflow in ntfs_compressed_pwrite in NTFS-3G < 2021.8.22. [NistCWE(cwe='CWE-787'), NistCWE(cwe='CWE-20')] NistCVSS2(cvss='AV:L/AC:M/Au:N/C:C/I:C/A:C', score=6.9) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) Astra Linux 1.7 ntfs-3g A crafted NTFS image can cause an out-of-bounds access in ntfs_decompress in NTFS-3G < 2021.8.22. [NistCWE(cwe='CWE-787'), NistCWE(cwe='CWE-20')] NistCVSS2(cvss='AV:L/AC:M/Au:N/C:C/I:C/A:C', score=6.9) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) Astra Linux 1.7 ntfs-3g A crafted NTFS image can trigger a heap-based buffer overflow, caused by an unsanitized attribute in ntfs_get_attribute_value, in NTFS-3G < 2021.8.22. [NistCWE(cwe='CWE-787'), NistCWE(cwe='CWE-20')] NistCVSS2(cvss='AV:L/AC:M/Au:N/C:C/I:C/A:C', score=6.9) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) Astra Linux 1.7 apache2 ap_escape_quotes() may write beyond the end of a buffer when given malicious input. No included modules pass untrusted data to these functions, but third-party / external modules may. This issue affects Apache HTTP Server 2.4.48 and earlier. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:P/A:P', score=7.5) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) - Обеспечить возможность использования библиотеки libapache2-mod-nss только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 squashfs-tools squashfs_opendir in unsquash-1.c in Squashfs-Tools 4.5 stores the filename in the directory entry; this is then used by unsquashfs to create the new file during the unsquash. The filename is not validated for traversal outside of the destination directory, and thus allows writing to locations outside of the destination. [NistCWE(cwe='CWE-22')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:P', score=5.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H', score=8.1) Astra Linux 1.7 git git_connect_git in connect.c in Git before 2.30.1 allows a repository path to contain a newline character, which may result in unexpected cross-protocol requests, as demonstrated by the git://localhost:1234/%0d%0a%0d%0aGET%20/%20HTTP/1.1 substring. [] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:N/A:N', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N', score=7.5) - Удалить библиотеку golang-github-dvsekhvalnov-jose2go, если она не используется и не является зависимостью других пакетов - Запускать ПО, использующее библиотеку golang-github-dvsekhvalnov-jose2go, в изолированной программной среде с применением инструмента Firejail - Использовать ПО, использующее библиотеку golang-github-dvsekhvalnov-jose2go, только на низком или отдельно выделенном уровне целостности - Активировать и настроить профили пользователей для работы в режиме Киоск-2 - Для непривилегированных пользователей активировать блокировку интерпретаторов - Включить режим замкнутой программной среды Astra Linux 1.7 apache2 A crafted request uri-path can cause mod_proxy to forward the request to an origin server choosen by the remote user. This issue affects Apache HTTP Server 2.4.48 and earlier. [NistCWE(cwe='CWE-918'), NistCWE(cwe='CWE-918')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H', score=9.0) - Обеспечить возможность использования библиотеки libapache2-mod-nss только доверенными пользователями ОС - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 atftp tftpd_file.c in atftp through 0.7.4 has a buffer overflow because buffer-size handling does not properly consider the combination of data, OACK, and other options. [NistCWE(cwe='CWE-120')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:N/I:N/A:P', score=5.0) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - С помощью межсетевого экрана ограничить обмен данными посредством ПО atftp-сервера внутренними локальными сетями, а также обеспечить возможность взаимодействия только между доверенными рабочими станциями путем конфигурации файлов /etc/hosts.allow и /etc/hosts.deny - При использовании ПО atftp выполнять обработку файлов, полученных только из доверенных источников - При использовании ПО atftpd в режиме сервиса проверить корректность конфигурации файлов /etc/hosts.allow (список рабочих станций, с которых разрешен доступ) и /etc/hosts.deny (список рабочих станций, с которых запрещен доступ) Astra Linux 1.7 squashfs-tools squashfs_opendir in unsquash-2.c in Squashfs-Tools 4.5 allows Directory Traversal, a different vulnerability than CVE-2021-40153. A squashfs filesystem that has been crafted to include a symbolic link and then contents under the same filename in a filesystem can cause unsquashfs to first create the symbolic link pointing outside the expected directory, and then the subsequent write operation will cause the unsquashfs process to write through the symbolic link elsewhere in the filesystem. [NistCWE(cwe='CWE-22')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:P/A:P', score=5.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H', score=8.1) Astra Linux 1.7 tomcat9 Apache Tomcat 8.5.0 to 8.5.63, 9.0.0-M1 to 9.0.43 and 10.0.0-M1 to 10.0.2 did not properly validate incoming TLS packets. When Tomcat was configured to use NIO+OpenSSL or NIO2+OpenSSL for TLS, a specially crafted packet could be used to trigger an infinite loop resulting in a denial of service. [NistCWE(cwe='CWE-20'), NistCWE(cwe='CWE-835')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:N/A:P', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=7.5) - Запускать ПО tomcat в изолированной программной среде - Включить режим замкнутой программной среды - Включить мандатный контроль целостности (МКЦ) - Включить межсетевой экран ufw; - Не запускайте Tomcat от имени пользователя Root. Для этого создайте пользователя для запуска службы Tomcat: ``` sudo useradd -m -U -d /home/tomcat -s $(which false) tomcat ``` Измените право собственности на созданного пользователя tomcat: ``` chown -R tomcat:tomcat /home/tomcat ``` - Запускайте сервер Apache Tomcat с помощью Security Manager. Это предотвращает запуск недоверенных апплетов в браузере - Измените процедуру выключения Tomcat. Это поможет предотвратить отключение служб Tomcat злоумышленниками. Для этого отредактируйте файл server.xml и удалите следующий блок: ``` <Server port=“8005” shutdown=“SHUTDOWN”> ``` Если вы хотите сохранить команду shutdown, измените порт и команду по умолчанию: ``` <Server port="5800" shutdown="KILLME"> ``` - Добавьте флаги Secure и HttpOnly. Отредактируйте файл web.xml и добавьте следующие записи в блок <cookie-config>: ``` <http-only>true</http-only> <secure>true</secure> </cookie-config> ``` Astra Linux 1.7 flatpak Flatpak is a system for building, distributing, and running sandboxed desktop applications on Linux. In versions prior to 1.10.4 and 1.12.0, Flatpak apps with direct access to AF_UNIX sockets such as those used by Wayland, Pipewire or pipewire-pulse can trick portals and other host-OS services into treating the Flatpak app as though it was an ordinary, non-sandboxed host-OS process. They can do this by manipulating the VFS using recent mount-related syscalls that are not blocked by Flatpak's denylist seccomp filter, in order to substitute a crafted `/.flatpak-info` or make that file disappear entirely. Flatpak apps that act as clients for AF_UNIX sockets such as those used by Wayland, Pipewire or pipewire-pulse can escalate the privileges that the corresponding services will believe the Flatpak app has. Note that protocols that operate entirely over the D-Bus session bus (user bus), system bus or accessibility bus are not affected by this. This is due to the use of a proxy process `xdg-dbus-proxy`, whose VFS cannot be manipulated by the Flatpak app, when interacting with these buses. Patches exist for versions 1.10.4 and 1.12.0, and as of time of publication, a patch for version 1.8.2 is being planned. There are no workarounds aside from upgrading to a patched version. [NistCWE(cwe='CWE-20')] NistCVSS2(cvss='AV:L/AC:L/Au:N/C:P/I:P/A:P', score=4.6) NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H', score=8.8) Astra Linux 1.7 thunderbird An out of date graphics library (Angle) likely contained vulnerabilities that could potentially be exploited. This vulnerability affects Thunderbird < 78.9 and Firefox ESR < 78.9. [] None NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) 1. Удалить ПО Thunderbird, если оно не используется 2. Отказаться от использования ПО Thunderbird в пользу ПО Evolution 3. Обеспечить запуск ПО Thunderbird в изолированной программной среде с применением инструмента Firejail Astra Linux 1.7 linux An out of memory bounds write flaw (1 or 2 bytes of memory) in the Linux kernel NFS subsystem was found in the way users use mirroring (replication of files with NFS). A user, having access to the NFS mount, could potentially use this flaw to crash the system or escalate privileges on the system. [NistCWE(cwe='CWE-119'), NistCWE(cwe='CWE-119')] NistCVSS2(cvss='AV:A/AC:M/Au:S/C:C/I:C/A:C', score=7.4) NistCVSS3(cvss='AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=8.0) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 nss, thunderbird NSS (Network Security Services) versions prior to 3.73 or 3.68.1 ESR are vulnerable to a heap overflow when handling DER-encoded DSA or RSA-PSS signatures. Applications using NSS for handling signatures encoded within CMS, S/MIME, PKCS \#7, or PKCS \#12 are likely to be impacted. Applications using NSS for certificate validation or other TLS, X.509, OCSP or CRL functionality may be impacted, depending on how they configure NSS. *Note: This vulnerability does NOT impact Mozilla Firefox.* However, email clients and PDF viewers that use NSS for signature verification, such as Thunderbird, LibreOffice, Evolution and Evince are believed to be impacted. This vulnerability affects NSS < 3.73 and NSS < 3.68.1. [NistCWE(cwe='CWE-787')] NistCVSS2(cvss='AV:N/AC:L/Au:N/C:P/I:P/A:P', score=7.5) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=9.8) Astra Linux 1.7 firefox, thunderbird A use-after-free could have occured when an HTTP2 session object was released on a different thread, leading to memory corruption and a potentially exploitable crash. This vulnerability affects Firefox < 93, Thunderbird < 91.3, and Firefox ESR < 91.3. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:P/I:P/A:P', score=6.8) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H', score=8.8) Astra Linux 1.7 linux, linux-5.10 In the Linux kernel, the following vulnerability has been resolved: tcp: add sanity tests to TCP_QUEUE_SEQ Qingyu Li reported a syzkaller bug where the repro changes RCV SEQ _after_ restoring data in the receive queue. mprotect(0x4aa000, 12288, PROT_READ) = 0 mmap(0x1ffff000, 4096, PROT_NONE, MAP_PRIVATE|MAP_FIXED|MAP_ANONYMOUS, -1, 0) = 0x1ffff000 mmap(0x20000000, 16777216, PROT_READ|PROT_WRITE|PROT_EXEC, MAP_PRIVATE|MAP_FIXED|MAP_ANONYMOUS, -1, 0) = 0x20000000 mmap(0x21000000, 4096, PROT_NONE, MAP_PRIVATE|MAP_FIXED|MAP_ANONYMOUS, -1, 0) = 0x21000000 socket(AF_INET6, SOCK_STREAM, IPPROTO_IP) = 3 setsockopt(3, SOL_TCP, TCP_REPAIR, [1], 4) = 0 connect(3, {sa_family=AF_INET6, sin6_port=htons(0), sin6_flowinfo=htonl(0), inet_pton(AF_INET6, "::1", &sin6_addr), sin6_scope_id=0}, 28) = 0 setsockopt(3, SOL_TCP, TCP_REPAIR_QUEUE, [1], 4) = 0 sendmsg(3, {msg_name=NULL, msg_namelen=0, msg_iov=[{iov_base="0x0000000000000003\0\0", iov_len=20}], msg_iovlen=1, msg_controllen=0, msg_flags=0}, 0) = 20 setsockopt(3, SOL_TCP, TCP_REPAIR, [0], 4) = 0 setsockopt(3, SOL_TCP, TCP_QUEUE_SEQ, [128], 4) = 0 recvfrom(3, NULL, 20, 0, NULL, NULL) = -1 ECONNRESET (Connection reset by peer) syslog shows: [ 111.205099] TCP recvmsg seq # bug 2: copied 80, seq 0, rcvnxt 80, fl 0 [ 111.207894] WARNING: CPU: 1 PID: 356 at net/ipv4/tcp.c:2343 tcp_recvmsg_locked+0x90e/0x29a0 This should not be allowed. TCP_QUEUE_SEQ should only be used when queues are empty. This patch fixes this case, and the tx path as well. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) Astra Linux 1.7 linux, linux-5.10 In the Linux kernel, the following vulnerability has been resolved: drm/amdkfd: Fix UBSAN shift-out-of-bounds warning If get_num_sdma_queues or get_num_xgmi_sdma_queues is 0, we end up doing a shift operation where the number of bits shifted equals number of bits in the operand. This behaviour is undefined. Set num_sdma_queues or num_xgmi_sdma_queues to ULLONG_MAX, if the count is >= number of bits in the operand. Bug: https://gitlab.freedesktop.org/drm/amd/-/issues/1472 [NistCWE(cwe='CWE-125'), NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H', score=7.1) Astra Linux 1.7 webkit2gtk In WebKitGTK before 2.32.4, there is a use-after-free in WebCore::ContainerNode::firstChild, a different vulnerability than CVE-2021-30889. [NistCWE(cwe='CWE-416')] NistCVSS2(cvss='AV:N/AC:M/Au:N/C:N/I:N/A:P', score=4.3) NistCVSS3(cvss='AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H', score=6.5) 1. Удалить ПО webkit2gtk, если оно не используется и не является зависимостью других используемых пакетов 2. Запускать приложения, использующие ПО webkit2gtk, в изолированной программной среде с применением инструмента Firejail 3. Выполнить безопасную настройку webkit2gtk: - При использовании ПО webkit2gtk производить обработку веб-контента только из доверенных источников - Включить и настроить межсетевой экран ufw для фильтрации трафика - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС - Отключить и удалить неиспользуемые учётные записи пользователей - Включить мандатный контроль целостности (МКЦ) - Включить режим замкнутой программной среды - Активировать и настроить профили пользователей для работы в режиме Киоск-2 Astra Linux 1.7 linux In the IPv4 implementation in the Linux kernel before 5.12.4, net/ipv4/route.c has an information leak because the hash table is very small. [NistCWE(cwe='CWE-327')] NistCVSS2(cvss='AV:A/AC:L/Au:S/C:P/I:N/A:N', score=2.7) NistCVSS3(cvss='AV:A/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N', score=3.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: net: hso: fix null-ptr-deref during tty device unregistration Multiple ttys try to claim the same the minor number causing a double unregistration of the same device. The first unregistration succeeds but the next one results in a null-ptr-deref. The get_free_serial_index() function returns an available minor number but doesn't assign it immediately. The assignment is done by the caller later. But before this assignment, calls to get_free_serial_index() would return the same minor number. Fix this by modifying get_free_serial_index to assign the minor number immediately after one is found to be and rename it to obtain_minor() to better reflect what it does. Similary, rename set_serial_by_index() to release_minor() and modify it to free up the minor number of the given hso_serial. Every obtain_minor() should have corresponding release_minor() call. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: HID: usbhid: fix info leak in hid_submit_ctrl In hid_submit_ctrl(), the way of calculating the report length doesn't take into account that report->size can be zero. When running the syzkaller reproducer, a report of size 0 causes hid_submit_ctrl) to calculate transfer_buffer_length as 16384. When this urb is passed to the usb core layer, KMSAN reports an info leak of 16384 bytes. To fix this, first modify hid_report_len() to account for the zero report size case by using DIV_ROUND_UP for the division. Then, call it from hid_submit_ctrl(). [NistCWE(cwe='CWE-668')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: ARM: footbridge: fix PCI interrupt mapping Since commit 30fdfb929e82 ("PCI: Add a call to pci_assign_irq() in pci_device_probe()"), the PCI code will call the IRQ mapping function whenever a PCI driver is probed. If these are marked as __init, this causes an oops if a PCI driver is loaded or bound after the kernel has initialised. [NistCWE(cwe='CWE-754')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: netfilter: nft_limit: avoid possible divide error in nft_limit_init div_u64() divides u64 by u32. nft_limit_init() wants to divide u64 by u64, use the appropriate math function (div64_u64) divide error: 0000 [#1] PREEMPT SMP KASAN CPU: 1 PID: 8390 Comm: syz-executor188 Not tainted 5.12.0-rc4-syzkaller #0 Hardware name: Google Google Compute Engine/Google Compute Engine, BIOS Google 01/01/2011 RIP: 0010:div_u64_rem include/linux/math64.h:28 [inline] RIP: 0010:div_u64 include/linux/math64.h:127 [inline] RIP: 0010:nft_limit_init+0x2a2/0x5e0 net/netfilter/nft_limit.c:85 Code: ef 4c 01 eb 41 0f 92 c7 48 89 de e8 38 a5 22 fa 4d 85 ff 0f 85 97 02 00 00 e8 ea 9e 22 fa 4c 0f af f3 45 89 ed 31 d2 4c 89 f0 <49> f7 f5 49 89 c6 e8 d3 9e 22 fa 48 8d 7d 48 48 b8 00 00 00 00 00 RSP: 0018:ffffc90009447198 EFLAGS: 00010246 RAX: 0000000000000000 RBX: 0000200000000000 RCX: 0000000000000000 RDX: 0000000000000000 RSI: ffffffff875152e6 RDI: 0000000000000003 RBP: ffff888020f80908 R08: 0000200000000000 R09: 0000000000000000 R10: ffffffff875152d8 R11: 0000000000000000 R12: ffffc90009447270 R13: 0000000000000000 R14: 0000000000000000 R15: 0000000000000000 FS: 000000000097a300(0000) GS:ffff8880b9d00000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 00000000200001c4 CR3: 0000000026a52000 CR4: 00000000001506e0 DR0: 0000000000000000 DR1: 0000000000000000 DR2: 0000000000000000 DR3: 0000000000000000 DR6: 00000000fffe0ff0 DR7: 0000000000000400 Call Trace: nf_tables_newexpr net/netfilter/nf_tables_api.c:2675 [inline] nft_expr_init+0x145/0x2d0 net/netfilter/nf_tables_api.c:2713 nft_set_elem_expr_alloc+0x27/0x280 net/netfilter/nf_tables_api.c:5160 nf_tables_newset+0x1997/0x3150 net/netfilter/nf_tables_api.c:4321 nfnetlink_rcv_batch+0x85a/0x21b0 net/netfilter/nfnetlink.c:456 nfnetlink_rcv_skb_batch net/netfilter/nfnetlink.c:580 [inline] nfnetlink_rcv+0x3af/0x420 net/netfilter/nfnetlink.c:598 netlink_unicast_kernel net/netlink/af_netlink.c:1312 [inline] netlink_unicast+0x533/0x7d0 net/netlink/af_netlink.c:1338 netlink_sendmsg+0x856/0xd90 net/netlink/af_netlink.c:1927 sock_sendmsg_nosec net/socket.c:654 [inline] sock_sendmsg+0xcf/0x120 net/socket.c:674 ____sys_sendmsg+0x6e8/0x810 net/socket.c:2350 ___sys_sendmsg+0xf3/0x170 net/socket.c:2404 __sys_sendmsg+0xe5/0x1b0 net/socket.c:2433 do_syscall_64+0x2d/0x70 arch/x86/entry/common.c:46 entry_SYSCALL_64_after_hwframe+0x44/0xae [NistCWE(cwe='CWE-369')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: locking/qrwlock: Fix ordering in queued_write_lock_slowpath() While this code is executed with the wait_lock held, a reader can acquire the lock without holding wait_lock. The writer side loops checking the value with the atomic_cond_read_acquire(), but only truly acquires the lock when the compare-and-exchange is completed successfully which isn’t ordered. This exposes the window between the acquire and the cmpxchg to an A-B-A problem which allows reads following the lock acquisition to observe values speculatively before the write lock is truly acquired. We've seen a problem in epoll where the reader does a xchg while holding the read lock, but the writer can see a value change out from under it. Writer | Reader -------------------------------------------------------------------------------- ep_scan_ready_list() | |- write_lock_irq() | |- queued_write_lock_slowpath() | |- atomic_cond_read_acquire() | | read_lock_irqsave(&ep->lock, flags); --> (observes value before unlock) | chain_epi_lockless() | | epi->next = xchg(&ep->ovflist, epi); | | read_unlock_irqrestore(&ep->lock, flags); | | | atomic_cmpxchg_relaxed() | |-- READ_ONCE(ep->ovflist); | A core can order the read of the ovflist ahead of the atomic_cmpxchg_relaxed(). Switching the cmpxchg to use acquire semantics addresses this issue at which point the atomic_cond_read can be switched to use relaxed semantics. [peterz: use try_cmpxchg()] [NistCWE(cwe='CWE-668')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: dm rq: fix double free of blk_mq_tag_set in dev remove after table load fails When loading a device-mapper table for a request-based mapped device, and the allocation/initialization of the blk_mq_tag_set for the device fails, a following device remove will cause a double free. E.g. (dmesg): device-mapper: core: Cannot initialize queue for request-based dm-mq mapped device device-mapper: ioctl: unable to set up device queue for new table. Unable to handle kernel pointer dereference in virtual kernel address space Failing address: 0305e098835de000 TEID: 0305e098835de803 Fault in home space mode while using kernel ASCE. AS:000000025efe0007 R3:0000000000000024 Oops: 0038 ilc:3 [#1] SMP Modules linked in: ... lots of modules ... Supported: Yes, External CPU: 0 PID: 7348 Comm: multipathd Kdump: loaded Tainted: G W X 5.3.18-53-default #1 SLE15-SP3 Hardware name: IBM 8561 T01 7I2 (LPAR) Krnl PSW : 0704e00180000000 000000025e368eca (kfree+0x42/0x330) R:0 T:1 IO:1 EX:1 Key:0 M:1 W:0 P:0 AS:3 CC:2 PM:0 RI:0 EA:3 Krnl GPRS: 000000000000004a 000000025efe5230 c1773200d779968d 0000000000000000 000000025e520270 000000025e8d1b40 0000000000000003 00000007aae10000 000000025e5202a2 0000000000000001 c1773200d779968d 0305e098835de640 00000007a8170000 000003ff80138650 000000025e5202a2 000003e00396faa8 Krnl Code: 000000025e368eb8: c4180041e100 lgrl %r1,25eba50b8 000000025e368ebe: ecba06b93a55 risbg %r11,%r10,6,185,58 #000000025e368ec4: e3b010000008 ag %r11,0(%r1) >000000025e368eca: e310b0080004 lg %r1,8(%r11) 000000025e368ed0: a7110001 tmll %r1,1 000000025e368ed4: a7740129 brc 7,25e369126 000000025e368ed8: e320b0080004 lg %r2,8(%r11) 000000025e368ede: b904001b lgr %r1,%r11 Call Trace: [<000000025e368eca>] kfree+0x42/0x330 [<000000025e5202a2>] blk_mq_free_tag_set+0x72/0xb8 [<000003ff801316a8>] dm_mq_cleanup_mapped_device+0x38/0x50 [dm_mod] [<000003ff80120082>] free_dev+0x52/0xd0 [dm_mod] [<000003ff801233f0>] __dm_destroy+0x150/0x1d0 [dm_mod] [<000003ff8012bb9a>] dev_remove+0x162/0x1c0 [dm_mod] [<000003ff8012a988>] ctl_ioctl+0x198/0x478 [dm_mod] [<000003ff8012ac8a>] dm_ctl_ioctl+0x22/0x38 [dm_mod] [<000000025e3b11ee>] ksys_ioctl+0xbe/0xe0 [<000000025e3b127a>] __s390x_sys_ioctl+0x2a/0x40 [<000000025e8c15ac>] system_call+0xd8/0x2c8 Last Breaking-Event-Address: [<000000025e52029c>] blk_mq_free_tag_set+0x6c/0xb8 Kernel panic - not syncing: Fatal exception: panic_on_oops When allocation/initialization of the blk_mq_tag_set fails in dm_mq_init_request_queue(), it is uninitialized/freed, but the pointer is not reset to NULL; so when dev_remove() later gets into dm_mq_cleanup_mapped_device() it sees the pointer and tries to uninitialize and free it again. Fix this by setting the pointer to NULL in dm_mq_init_request_queue() error-handling. Also set it to NULL in dm_mq_cleanup_mapped_device(). [NistCWE(cwe='CWE-415')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: tracing: Restructure trace_clock_global() to never block It was reported that a fix to the ring buffer recursion detection would cause a hung machine when performing suspend / resume testing. The following backtrace was extracted from debugging that case: Call Trace: trace_clock_global+0x91/0xa0 __rb_reserve_next+0x237/0x460 ring_buffer_lock_reserve+0x12a/0x3f0 trace_buffer_lock_reserve+0x10/0x50 __trace_graph_return+0x1f/0x80 trace_graph_return+0xb7/0xf0 ? trace_clock_global+0x91/0xa0 ftrace_return_to_handler+0x8b/0xf0 ? pv_hash+0xa0/0xa0 return_to_handler+0x15/0x30 ? ftrace_graph_caller+0xa0/0xa0 ? trace_clock_global+0x91/0xa0 ? __rb_reserve_next+0x237/0x460 ? ring_buffer_lock_reserve+0x12a/0x3f0 ? trace_event_buffer_lock_reserve+0x3c/0x120 ? trace_event_buffer_reserve+0x6b/0xc0 ? trace_event_raw_event_device_pm_callback_start+0x125/0x2d0 ? dpm_run_callback+0x3b/0xc0 ? pm_ops_is_empty+0x50/0x50 ? platform_get_irq_byname_optional+0x90/0x90 ? trace_device_pm_callback_start+0x82/0xd0 ? dpm_run_callback+0x49/0xc0 With the following RIP: RIP: 0010:native_queued_spin_lock_slowpath+0x69/0x200 Since the fix to the recursion detection would allow a single recursion to happen while tracing, this lead to the trace_clock_global() taking a spin lock and then trying to take it again: ring_buffer_lock_reserve() { trace_clock_global() { arch_spin_lock() { queued_spin_lock_slowpath() { /* lock taken */ (something else gets traced by function graph tracer) ring_buffer_lock_reserve() { trace_clock_global() { arch_spin_lock() { queued_spin_lock_slowpath() { /* DEAD LOCK! */ Tracing should *never* block, as it can lead to strange lockups like the above. Restructure the trace_clock_global() code to instead of simply taking a lock to update the recorded "prev_time" simply use it, as two events happening on two different CPUs that calls this at the same time, really doesn't matter which one goes first. Use a trylock to grab the lock for updating the prev_time, and if it fails, simply try again the next time. If it failed to be taken, that means something else is already updating it. Bugzilla: https://bugzilla.kernel.org/show_bug.cgi?id=212761 [NistCWE(cwe='CWE-662'), NistCWE(cwe='CWE-400')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: media: staging/intel-ipu3: Fix set_fmt error handling If there in an error during a set_fmt, do not overwrite the previous sizes with the invalid config. Without this patch, v4l2-compliance ends up allocating 4GiB of RAM and causing the following OOPs [ 38.662975] ipu3-imgu 0000:00:05.0: swiotlb buffer is full (sz: 4096 bytes) [ 38.662980] DMA: Out of SW-IOMMU space for 4096 bytes at device 0000:00:05.0 [ 38.663010] general protection fault: 0000 [#1] PREEMPT SMP [NistCWE(cwe='CWE-131')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: media: staging/intel-ipu3: Fix memory leak in imu_fmt We are losing the reference to an allocated memory if try. Change the order of the check to avoid that. [NistCWE(cwe='CWE-401')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: md/raid1: properly indicate failure when ending a failed write request This patch addresses a data corruption bug in raid1 arrays using bitmaps. Without this fix, the bitmap bits for the failed I/O end up being cleared. Since we are in the failure leg of raid1_end_write_request, the request either needs to be retried (R1BIO_WriteError) or failed (R1BIO_Degraded). [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: tpm: efi: Use local variable for calculating final log size When tpm_read_log_efi is called multiple times, which happens when one loads and unloads a TPM2 driver multiple times, then the global variable efi_tpm_final_log_size will at some point become a negative number due to the subtraction of final_events_preboot_size occurring each time. Use a local variable to avoid this integer underflow. The following issue is now resolved: Mar 8 15:35:12 hibinst kernel: Hardware name: QEMU Standard PC (Q35 + ICH9, 2009), BIOS 0.0.0 02/06/2015 Mar 8 15:35:12 hibinst kernel: Workqueue: tpm-vtpm vtpm_proxy_work [tpm_vtpm_proxy] Mar 8 15:35:12 hibinst kernel: RIP: 0010:__memcpy+0x12/0x20 Mar 8 15:35:12 hibinst kernel: Code: 00 b8 01 00 00 00 85 d2 74 0a c7 05 44 7b ef 00 0f 00 00 00 c3 cc cc cc 66 66 90 66 90 48 89 f8 48 89 d1 48 c1 e9 03 83 e2 07 <f3> 48 a5 89 d1 f3 a4 c3 66 0f 1f 44 00 00 48 89 f8 48 89 d1 f3 a4 Mar 8 15:35:12 hibinst kernel: RSP: 0018:ffff9ac4c0fcfde0 EFLAGS: 00010206 Mar 8 15:35:12 hibinst kernel: RAX: ffff88f878cefed5 RBX: ffff88f878ce9000 RCX: 1ffffffffffffe0f Mar 8 15:35:12 hibinst kernel: RDX: 0000000000000003 RSI: ffff9ac4c003bff9 RDI: ffff88f878cf0e4d Mar 8 15:35:12 hibinst kernel: RBP: ffff9ac4c003b000 R08: 0000000000001000 R09: 000000007e9d6073 Mar 8 15:35:12 hibinst kernel: R10: ffff9ac4c003b000 R11: ffff88f879ad3500 R12: 0000000000000ed5 Mar 8 15:35:12 hibinst kernel: R13: ffff88f878ce9760 R14: 0000000000000002 R15: ffff88f77de7f018 Mar 8 15:35:12 hibinst kernel: FS: 0000000000000000(0000) GS:ffff88f87bd00000(0000) knlGS:0000000000000000 Mar 8 15:35:12 hibinst kernel: CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 Mar 8 15:35:12 hibinst kernel: CR2: ffff9ac4c003c000 CR3: 00000001785a6004 CR4: 0000000000060ee0 Mar 8 15:35:12 hibinst kernel: Call Trace: Mar 8 15:35:12 hibinst kernel: tpm_read_log_efi+0x152/0x1a7 Mar 8 15:35:12 hibinst kernel: tpm_bios_log_setup+0xc8/0x1c0 Mar 8 15:35:12 hibinst kernel: tpm_chip_register+0x8f/0x260 Mar 8 15:35:12 hibinst kernel: vtpm_proxy_work+0x16/0x60 [tpm_vtpm_proxy] Mar 8 15:35:12 hibinst kernel: process_one_work+0x1b4/0x370 Mar 8 15:35:12 hibinst kernel: worker_thread+0x53/0x3e0 Mar 8 15:35:12 hibinst kernel: ? process_one_work+0x370/0x370 [NistCWE(cwe='CWE-191')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: ACPI: GTDT: Don't corrupt interrupt mappings on watchdow probe failure When failing the driver probe because of invalid firmware properties, the GTDT driver unmaps the interrupt that it mapped earlier. However, it never checks whether the mapping of the interrupt actially succeeded. Even more, should the firmware report an illegal interrupt number that overlaps with the GIC SGI range, this can result in an IPI being unmapped, and subsequent fireworks (as reported by Dann Frazier). Rework the driver to have a slightly saner behaviour and actually check whether the interrupt has been mapped before unmapping things. [] None NistCVSS3(cvss='AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H', score=6.7) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: openvswitch: fix stack OOB read while fragmenting IPv4 packets running openvswitch on kernels built with KASAN, it's possible to see the following splat while testing fragmentation of IPv4 packets: BUG: KASAN: stack-out-of-bounds in ip_do_fragment+0x1b03/0x1f60 Read of size 1 at addr ffff888112fc713c by task handler2/1367 CPU: 0 PID: 1367 Comm: handler2 Not tainted 5.12.0-rc6+ #418 Hardware name: Red Hat KVM, BIOS 1.11.1-4.module+el8.1.0+4066+0f1aadab 04/01/2014 Call Trace: dump_stack+0x92/0xc1 print_address_description.constprop.7+0x1a/0x150 kasan_report.cold.13+0x7f/0x111 ip_do_fragment+0x1b03/0x1f60 ovs_fragment+0x5bf/0x840 [openvswitch] do_execute_actions+0x1bd5/0x2400 [openvswitch] ovs_execute_actions+0xc8/0x3d0 [openvswitch] ovs_packet_cmd_execute+0xa39/0x1150 [openvswitch] genl_family_rcv_msg_doit.isra.15+0x227/0x2d0 genl_rcv_msg+0x287/0x490 netlink_rcv_skb+0x120/0x380 genl_rcv+0x24/0x40 netlink_unicast+0x439/0x630 netlink_sendmsg+0x719/0xbf0 sock_sendmsg+0xe2/0x110 ____sys_sendmsg+0x5ba/0x890 ___sys_sendmsg+0xe9/0x160 __sys_sendmsg+0xd3/0x170 do_syscall_64+0x33/0x40 entry_SYSCALL_64_after_hwframe+0x44/0xae RIP: 0033:0x7f957079db07 Code: c3 66 90 41 54 41 89 d4 55 48 89 f5 53 89 fb 48 83 ec 10 e8 eb ec ff ff 44 89 e2 48 89 ee 89 df 41 89 c0 b8 2e 00 00 00 0f 05 <48> 3d 00 f0 ff ff 77 35 44 89 c7 48 89 44 24 08 e8 24 ed ff ff 48 RSP: 002b:00007f956ce35a50 EFLAGS: 00000293 ORIG_RAX: 000000000000002e RAX: ffffffffffffffda RBX: 0000000000000019 RCX: 00007f957079db07 RDX: 0000000000000000 RSI: 00007f956ce35ae0 RDI: 0000000000000019 RBP: 00007f956ce35ae0 R08: 0000000000000000 R09: 00007f9558006730 R10: 0000000000000000 R11: 0000000000000293 R12: 0000000000000000 R13: 00007f956ce37308 R14: 00007f956ce35f80 R15: 00007f956ce35ae0 The buggy address belongs to the page: page:00000000af2a1d93 refcount:0 mapcount:0 mapping:0000000000000000 index:0x0 pfn:0x112fc7 flags: 0x17ffffc0000000() raw: 0017ffffc0000000 0000000000000000 dead000000000122 0000000000000000 raw: 0000000000000000 0000000000000000 00000000ffffffff 0000000000000000 page dumped because: kasan: bad access detected addr ffff888112fc713c is located in stack of task handler2/1367 at offset 180 in frame: ovs_fragment+0x0/0x840 [openvswitch] this frame has 2 objects: [32, 144) 'ovs_dst' [192, 424) 'ovs_rt' Memory state around the buggy address: ffff888112fc7000: f3 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ffff888112fc7080: 00 f1 f1 f1 f1 00 00 00 00 00 00 00 00 00 00 00 >ffff888112fc7100: 00 00 00 f2 f2 f2 f2 f2 f2 00 00 00 00 00 00 00 ^ ffff888112fc7180: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ffff888112fc7200: 00 00 00 00 00 00 f2 f2 f2 00 00 00 00 00 00 00 for IPv4 packets, ovs_fragment() uses a temporary struct dst_entry. Then, in the following call graph: ip_do_fragment() ip_skb_dst_mtu() ip_dst_mtu_maybe_forward() ip_mtu_locked() the pointer to struct dst_entry is used as pointer to struct rtable: this turns the access to struct members like rt_mtu_locked into an OOB read in the stack. Fix this changing the temporary variable used for IPv4 packets in ovs_fragment(), similarly to what is done for IPv6 few lines below. [NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H', score=7.1) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: virtiofs: fix memory leak in virtio_fs_probe() When accidentally passing twice the same tag to qemu, kmemleak ended up reporting a memory leak in virtiofs. Also, looking at the log I saw the following error (that's when I realised the duplicated tag): virtiofs: probe of virtio5 failed with error -17 Here's the kmemleak log for reference: unreferenced object 0xffff888103d47800 (size 1024): comm "systemd-udevd", pid 118, jiffies 4294893780 (age 18.340s) hex dump (first 32 bytes): 00 00 00 00 ad 4e ad de ff ff ff ff 00 00 00 00 .....N.......... ff ff ff ff ff ff ff ff 80 90 02 a0 ff ff ff ff ................ backtrace: [<000000000ebb87c1>] virtio_fs_probe+0x171/0x7ae [virtiofs] [<00000000f8aca419>] virtio_dev_probe+0x15f/0x210 [<000000004d6baf3c>] really_probe+0xea/0x430 [<00000000a6ceeac8>] device_driver_attach+0xa8/0xb0 [<00000000196f47a7>] __driver_attach+0x98/0x140 [<000000000b20601d>] bus_for_each_dev+0x7b/0xc0 [<00000000399c7b7f>] bus_add_driver+0x11b/0x1f0 [<0000000032b09ba7>] driver_register+0x8f/0xe0 [<00000000cdd55998>] 0xffffffffa002c013 [<000000000ea196a2>] do_one_initcall+0x64/0x2e0 [<0000000008f727ce>] do_init_module+0x5c/0x260 [<000000003cdedab6>] __do_sys_finit_module+0xb5/0x120 [<00000000ad2f48c6>] do_syscall_64+0x33/0x40 [<00000000809526b5>] entry_SYSCALL_64_after_hwframe+0x44/0xae [NistCWE(cwe='CWE-401')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux, linux-5.10 In the Linux kernel, the following vulnerability has been resolved: spi: Fix use-after-free with devm_spi_alloc_* We can't rely on the contents of the devres list during spi_unregister_controller(), as the list is already torn down at the time we perform devres_find() for devm_spi_release_controller. This causes devices registered with devm_spi_alloc_{master,slave}() to be mistakenly identified as legacy, non-devm managed devices and have their reference counters decremented below 0. ------------[ cut here ]------------ WARNING: CPU: 1 PID: 660 at lib/refcount.c:28 refcount_warn_saturate+0x108/0x174 [<b0396f04>] (refcount_warn_saturate) from [<b03c56a4>] (kobject_put+0x90/0x98) [<b03c5614>] (kobject_put) from [<b0447b4c>] (put_device+0x20/0x24) r4:b6700140 [<b0447b2c>] (put_device) from [<b07515e8>] (devm_spi_release_controller+0x3c/0x40) [<b07515ac>] (devm_spi_release_controller) from [<b045343c>] (release_nodes+0x84/0xc4) r5:b6700180 r4:b6700100 [<b04533b8>] (release_nodes) from [<b0454160>] (devres_release_all+0x5c/0x60) r8:b1638c54 r7:b117ad94 r6:b1638c10 r5:b117ad94 r4:b163dc10 [<b0454104>] (devres_release_all) from [<b044e41c>] (__device_release_driver+0x144/0x1ec) r5:b117ad94 r4:b163dc10 [<b044e2d8>] (__device_release_driver) from [<b044f70c>] (device_driver_detach+0x84/0xa0) r9:00000000 r8:00000000 r7:b117ad94 r6:b163dc54 r5:b1638c10 r4:b163dc10 [<b044f688>] (device_driver_detach) from [<b044d274>] (unbind_store+0xe4/0xf8) Instead, determine the devm allocation state as a flag on the controller which is guaranteed to be stable during cleanup. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: cifs: Return correct error code from smb2_get_enc_key Avoid a warning if the error percolates back up: [440700.376476] CIFS VFS: \\otters.example.com crypt_message: Could not get encryption key [440700.386947] ------------[ cut here ]------------ [440700.386948] err = 1 [440700.386977] WARNING: CPU: 11 PID: 2733 at /build/linux-hwe-5.4-p6lk6L/linux-hwe-5.4-5.4.0/lib/errseq.c:74 errseq_set+0x5c/0x70 ... [440700.397304] CPU: 11 PID: 2733 Comm: tar Tainted: G OE 5.4.0-70-generic #78~18.04.1-Ubuntu ... [440700.397334] Call Trace: [440700.397346] __filemap_set_wb_err+0x1a/0x70 [440700.397419] cifs_writepages+0x9c7/0xb30 [cifs] [440700.397426] do_writepages+0x4b/0xe0 [440700.397444] __filemap_fdatawrite_range+0xcb/0x100 [440700.397455] filemap_write_and_wait+0x42/0xa0 [440700.397486] cifs_setattr+0x68b/0xf30 [cifs] [440700.397493] notify_change+0x358/0x4a0 [440700.397500] utimes_common+0xe9/0x1c0 [440700.397510] do_utimes+0xc5/0x150 [440700.397520] __x64_sys_utimensat+0x88/0xd0 [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: irqchip/gic-v3: Do not enable irqs when handling spurious interrups We triggered the following error while running our 4.19 kernel with the pseudo-NMI patches backported to it: [ 14.816231] ------------[ cut here ]------------ [ 14.816231] kernel BUG at irq.c:99! [ 14.816232] Internal error: Oops - BUG: 0 [#1] SMP [ 14.816232] Process swapper/0 (pid: 0, stack limit = 0x(____ptrval____)) [ 14.816233] CPU: 0 PID: 0 Comm: swapper/0 Tainted: G O 4.19.95.aarch64 #14 [ 14.816233] Hardware name: evb (DT) [ 14.816234] pstate: 80400085 (Nzcv daIf +PAN -UAO) [ 14.816234] pc : asm_nmi_enter+0x94/0x98 [ 14.816235] lr : asm_nmi_enter+0x18/0x98 [ 14.816235] sp : ffff000008003c50 [ 14.816235] pmr_save: 00000070 [ 14.816237] x29: ffff000008003c50 x28: ffff0000095f56c0 [ 14.816238] x27: 0000000000000000 x26: ffff000008004000 [ 14.816239] x25: 00000000015e0000 x24: ffff8008fb916000 [ 14.816240] x23: 0000000020400005 x22: ffff0000080817cc [ 14.816241] x21: ffff000008003da0 x20: 0000000000000060 [ 14.816242] x19: 00000000000003ff x18: ffffffffffffffff [ 14.816243] x17: 0000000000000008 x16: 003d090000000000 [ 14.816244] x15: ffff0000095ea6c8 x14: ffff8008fff5ab40 [ 14.816244] x13: ffff8008fff58b9d x12: 0000000000000000 [ 14.816245] x11: ffff000008c8a200 x10: 000000008e31fca5 [ 14.816246] x9 : ffff000008c8a208 x8 : 000000000000000f [ 14.816247] x7 : 0000000000000004 x6 : ffff8008fff58b9e [ 14.816248] x5 : 0000000000000000 x4 : 0000000080000000 [ 14.816249] x3 : 0000000000000000 x2 : 0000000080000000 [ 14.816250] x1 : 0000000000120000 x0 : ffff0000095f56c0 [ 14.816251] Call trace: [ 14.816251] asm_nmi_enter+0x94/0x98 [ 14.816251] el1_irq+0x8c/0x180 (IRQ C) [ 14.816252] gic_handle_irq+0xbc/0x2e4 [ 14.816252] el1_irq+0xcc/0x180 (IRQ B) [ 14.816253] arch_timer_handler_virt+0x38/0x58 [ 14.816253] handle_percpu_devid_irq+0x90/0x240 [ 14.816253] generic_handle_irq+0x34/0x50 [ 14.816254] __handle_domain_irq+0x68/0xc0 [ 14.816254] gic_handle_irq+0xf8/0x2e4 [ 14.816255] el1_irq+0xcc/0x180 (IRQ A) [ 14.816255] arch_cpu_idle+0x34/0x1c8 [ 14.816255] default_idle_call+0x24/0x44 [ 14.816256] do_idle+0x1d0/0x2c8 [ 14.816256] cpu_startup_entry+0x28/0x30 [ 14.816256] rest_init+0xb8/0xc8 [ 14.816257] start_kernel+0x4c8/0x4f4 [ 14.816257] Code: 940587f1 d5384100 b9401001 36a7fd01 (d4210000) [ 14.816258] Modules linked in: start_dp(O) smeth(O) [ 15.103092] ---[ end trace 701753956cb14aa8 ]--- [ 15.103093] Kernel panic - not syncing: Fatal exception in interrupt [ 15.103099] SMP: stopping secondary CPUs [ 15.103100] Kernel Offset: disabled [ 15.103100] CPU features: 0x36,a2400218 [ 15.103100] Memory Limit: none which is cause by a 'BUG_ON(in_nmi())' in nmi_enter(). From the call trace, we can find three interrupts (noted A, B, C above): interrupt (A) is preempted by (B), which is further interrupted by (C). Subsequent investigations show that (B) results in nmi_enter() being called, but that it actually is a spurious interrupt. Furthermore, interrupts are reenabled in the context of (B), and (C) fires with NMI priority. We end-up with a nested NMI situation, something we definitely do not want to (and cannot) handle. The bug here is that spurious interrupts should never result in any state change, and we should just return to the interrupted context. Moving the handling of spurious interrupts as early as possible in the GICv3 handler fixes this issue. [maz: rewrote commit message, corrected Fixes: tag] [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: mmc: uniphier-sd: Fix a resource leak in the remove function A 'tmio_mmc_host_free()' call is missing in the remove function, in order to balance a 'tmio_mmc_host_alloc()' call in the probe. This is done in the error handling path of the probe, but not in the remove function. Add the missing call. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: ACPI: custom_method: fix potential use-after-free issue In cm_write(), buf is always freed when reaching the end of the function. If the requested count is less than table.length, the allocated buffer will be freed but subsequent calls to cm_write() will still try to access it. Remove the unconditional kfree(buf) at the end of the function and set the buf to NULL in the -EINVAL error path to match the rest of function. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: perf/core: Fix unconditional security_locked_down() call Currently, the lockdown state is queried unconditionally, even though its result is used only if the PERF_SAMPLE_REGS_INTR bit is set in attr.sample_type. While that doesn't matter in case of the Lockdown LSM, it causes trouble with the SELinux's lockdown hook implementation. SELinux implements the locked_down hook with a check whether the current task's type has the corresponding "lockdown" class permission ("integrity" or "confidentiality") allowed in the policy. This means that calling the hook when the access control decision would be ignored generates a bogus permission check and audit record. Fix this by checking sample_type first and only calling the hook when its result would be honored. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N', score=3.3) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: bpf: Fix masking negation logic upon negative dst register The negation logic for the case where the off_reg is sitting in the dst register is not correct given then we cannot just invert the add to a sub or vice versa. As a fix, perform the final bitwise and-op unconditionally into AX from the off_reg, then move the pointer from the src to dst and finally use AX as the source for the original pointer arithmetic operation such that the inversion yields a correct result. The single non-AX mov in between is possible given constant blinding is retaining it as it's not an immediate based operation. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: nbd: Fix NULL pointer in flush_workqueue Open /dev/nbdX first, the config_refs will be 1 and the pointers in nbd_device are still null. Disconnect /dev/nbdX, then reference a null recv_workq. The protection by config_refs in nbd_genl_disconnect is useless. [ 656.366194] BUG: kernel NULL pointer dereference, address: 0000000000000020 [ 656.368943] #PF: supervisor write access in kernel mode [ 656.369844] #PF: error_code(0x0002) - not-present page [ 656.370717] PGD 10cc87067 P4D 10cc87067 PUD 1074b4067 PMD 0 [ 656.371693] Oops: 0002 [#1] SMP [ 656.372242] CPU: 5 PID: 7977 Comm: nbd-client Not tainted 5.11.0-rc5-00040-g76c057c84d28 #1 [ 656.373661] Hardware name: QEMU Standard PC (i440FX + PIIX, 1996), BIOS ?-20190727_073836-buildvm-ppc64le-16.ppc.fedoraproject.org-3.fc31 04/01/2014 [ 656.375904] RIP: 0010:mutex_lock+0x29/0x60 [ 656.376627] Code: 00 0f 1f 44 00 00 55 48 89 fd 48 83 05 6f d7 fe 08 01 e8 7a c3 ff ff 48 83 05 6a d7 fe 08 01 31 c0 65 48 8b 14 25 00 6d 01 00 <f0> 48 0f b1 55 d [ 656.378934] RSP: 0018:ffffc900005eb9b0 EFLAGS: 00010246 [ 656.379350] RAX: 0000000000000000 RBX: 0000000000000000 RCX: 0000000000000000 [ 656.379915] RDX: ffff888104cf2600 RSI: ffffffffaae8f452 RDI: 0000000000000020 [ 656.380473] RBP: 0000000000000020 R08: 0000000000000000 R09: ffff88813bd6b318 [ 656.381039] R10: 00000000000000c7 R11: fefefefefefefeff R12: ffff888102710b40 [ 656.381599] R13: ffffc900005eb9e0 R14: ffffffffb2930680 R15: ffff88810770ef00 [ 656.382166] FS: 00007fdf117ebb40(0000) GS:ffff88813bd40000(0000) knlGS:0000000000000000 [ 656.382806] CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 [ 656.383261] CR2: 0000000000000020 CR3: 0000000100c84000 CR4: 00000000000006e0 [ 656.383819] DR0: 0000000000000000 DR1: 0000000000000000 DR2: 0000000000000000 [ 656.384370] DR3: 0000000000000000 DR6: 00000000fffe0ff0 DR7: 0000000000000400 [ 656.384927] Call Trace: [ 656.385111] flush_workqueue+0x92/0x6c0 [ 656.385395] nbd_disconnect_and_put+0x81/0xd0 [ 656.385716] nbd_genl_disconnect+0x125/0x2a0 [ 656.386034] genl_family_rcv_msg_doit.isra.0+0x102/0x1b0 [ 656.386422] genl_rcv_msg+0xfc/0x2b0 [ 656.386685] ? nbd_ioctl+0x490/0x490 [ 656.386954] ? genl_family_rcv_msg_doit.isra.0+0x1b0/0x1b0 [ 656.387354] netlink_rcv_skb+0x62/0x180 [ 656.387638] genl_rcv+0x34/0x60 [ 656.387874] netlink_unicast+0x26d/0x590 [ 656.388162] netlink_sendmsg+0x398/0x6c0 [ 656.388451] ? netlink_rcv_skb+0x180/0x180 [ 656.388750] ____sys_sendmsg+0x1da/0x320 [ 656.389038] ? ____sys_recvmsg+0x130/0x220 [ 656.389334] ___sys_sendmsg+0x8e/0xf0 [ 656.389605] ? ___sys_recvmsg+0xa2/0xf0 [ 656.389889] ? handle_mm_fault+0x1671/0x21d0 [ 656.390201] __sys_sendmsg+0x6d/0xe0 [ 656.390464] __x64_sys_sendmsg+0x23/0x30 [ 656.390751] do_syscall_64+0x45/0x70 [ 656.391017] entry_SYSCALL_64_after_hwframe+0x44/0xa9 To fix it, just add if (nbd->recv_workq) to nbd_disconnect_and_put(). [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: kyber: fix out of bounds access when preempted __blk_mq_sched_bio_merge() gets the ctx and hctx for the current CPU and passes the hctx to ->bio_merge(). kyber_bio_merge() then gets the ctx for the current CPU again and uses that to get the corresponding Kyber context in the passed hctx. However, the thread may be preempted between the two calls to blk_mq_get_ctx(), and the ctx returned the second time may no longer correspond to the passed hctx. This "works" accidentally most of the time, but it can cause us to read garbage if the second ctx came from an hctx with more ctx's than the first one (i.e., if ctx->index_hw[hctx->type] > hctx->nr_ctx). This manifested as this UBSAN array index out of bounds error reported by Jakub: UBSAN: array-index-out-of-bounds in ../kernel/locking/qspinlock.c:130:9 index 13106 is out of range for type 'long unsigned int [128]' Call Trace: dump_stack+0xa4/0xe5 ubsan_epilogue+0x5/0x40 __ubsan_handle_out_of_bounds.cold.13+0x2a/0x34 queued_spin_lock_slowpath+0x476/0x480 do_raw_spin_lock+0x1c2/0x1d0 kyber_bio_merge+0x112/0x180 blk_mq_submit_bio+0x1f5/0x1100 submit_bio_noacct+0x7b0/0x870 submit_bio+0xc2/0x3a0 btrfs_map_bio+0x4f0/0x9d0 btrfs_submit_data_bio+0x24e/0x310 submit_one_bio+0x7f/0xb0 submit_extent_page+0xc4/0x440 __extent_writepage_io+0x2b8/0x5e0 __extent_writepage+0x28d/0x6e0 extent_write_cache_pages+0x4d7/0x7a0 extent_writepages+0xa2/0x110 do_writepages+0x8f/0x180 __writeback_single_inode+0x99/0x7f0 writeback_sb_inodes+0x34e/0x790 __writeback_inodes_wb+0x9e/0x120 wb_writeback+0x4d2/0x660 wb_workfn+0x64d/0xa10 process_one_work+0x53a/0xa80 worker_thread+0x69/0x5b0 kthread+0x20b/0x240 ret_from_fork+0x1f/0x30 Only Kyber uses the hctx, so fix it by passing the request_queue to ->bio_merge() instead. BFQ and mq-deadline just use that, and Kyber can map the queues itself to avoid the mismatch. [NistCWE(cwe='CWE-129')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: userfaultfd: release page in error path to avoid BUG_ON Consider the following sequence of events: 1. Userspace issues a UFFD ioctl, which ends up calling into shmem_mfill_atomic_pte(). We successfully account the blocks, we shmem_alloc_page(), but then the copy_from_user() fails. We return -ENOENT. We don't release the page we allocated. 2. Our caller detects this error code, tries the copy_from_user() after dropping the mmap_lock, and retries, calling back into shmem_mfill_atomic_pte(). 3. Meanwhile, let's say another process filled up the tmpfs being used. 4. So shmem_mfill_atomic_pte() fails to account blocks this time, and immediately returns - without releasing the page. This triggers a BUG_ON in our caller, which asserts that the page should always be consumed, unless -ENOENT is returned. To fix this, detect if we have such a "dangling" page when accounting fails, and if so, release it before returning. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: hfsplus: prevent corruption in shrinking truncate I believe there are some issues introduced by commit 31651c607151 ("hfsplus: avoid deadlock on file truncation") HFS+ has extent records which always contains 8 extents. In case the first extent record in catalog file gets full, new ones are allocated from extents overflow file. In case shrinking truncate happens to middle of an extent record which locates in extents overflow file, the logic in hfsplus_file_truncate() was changed so that call to hfs_brec_remove() is not guarded any more. Right action would be just freeing the extents that exceed the new size inside extent record by calling hfsplus_free_extents(), and then check if the whole extent record should be removed. However since the guard (blk_cnt > start) is now after the call to hfs_brec_remove(), this has unfortunate effect that the last matching extent record is removed unconditionally. To reproduce this issue, create a file which has at least 10 extents, and then perform shrinking truncate into middle of the last extent record, so that the number of remaining extents is not under or divisible by 8. This causes the last extent record (8 extents) to be removed totally instead of truncating into middle of it. Thus this causes corruption, and lost data. Fix for this is simply checking if the new truncated end is below the start of this extent record, making it safe to remove the full extent record. However call to hfs_brec_remove() can't be moved to it's previous place since we're dropping ->tree_lock and it can cause a race condition and the cached info being invalidated possibly corrupting the node data. Another issue is related to this one. When entering into the block (blk_cnt > start) we are not holding the ->tree_lock. We break out from the loop not holding the lock, but hfs_find_exit() does unlock it. Not sure if it's possible for someone else to take the lock under our feet, but it can cause hard to debug errors and premature unlocking. Even if there's no real risk of it, the locking should still always be kept in balance. Thus taking the lock now just before the check. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: i40e: Fix use-after-free in i40e_client_subtask() Currently the call to i40e_client_del_instance frees the object pf->cinst, however pf->cinst->lan_info is being accessed after the free. Fix this by adding the missing return. Addresses-Coverity: ("Read from pointer after free") [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: netfilter: nftables: avoid overflows in nft_hash_buckets() Number of buckets being stored in 32bit variables, we have to ensure that no overflows occur in nft_hash_buckets() syzbot injected a size == 0x40000000 and reported: UBSAN: shift-out-of-bounds in ./include/linux/log2.h:57:13 shift exponent 64 is too large for 64-bit type 'long unsigned int' CPU: 1 PID: 29539 Comm: syz-executor.4 Not tainted 5.12.0-rc7-syzkaller #0 Hardware name: Google Google Compute Engine/Google Compute Engine, BIOS Google 01/01/2011 Call Trace: __dump_stack lib/dump_stack.c:79 [inline] dump_stack+0x141/0x1d7 lib/dump_stack.c:120 ubsan_epilogue+0xb/0x5a lib/ubsan.c:148 __ubsan_handle_shift_out_of_bounds.cold+0xb1/0x181 lib/ubsan.c:327 __roundup_pow_of_two include/linux/log2.h:57 [inline] nft_hash_buckets net/netfilter/nft_set_hash.c:411 [inline] nft_hash_estimate.cold+0x19/0x1e net/netfilter/nft_set_hash.c:652 nft_select_set_ops net/netfilter/nf_tables_api.c:3586 [inline] nf_tables_newset+0xe62/0x3110 net/netfilter/nf_tables_api.c:4322 nfnetlink_rcv_batch+0xa09/0x24b0 net/netfilter/nfnetlink.c:488 nfnetlink_rcv_skb_batch net/netfilter/nfnetlink.c:612 [inline] nfnetlink_rcv+0x3af/0x420 net/netfilter/nfnetlink.c:630 netlink_unicast_kernel net/netlink/af_netlink.c:1312 [inline] netlink_unicast+0x533/0x7d0 net/netlink/af_netlink.c:1338 netlink_sendmsg+0x856/0xd90 net/netlink/af_netlink.c:1927 sock_sendmsg_nosec net/socket.c:654 [inline] sock_sendmsg+0xcf/0x120 net/socket.c:674 ____sys_sendmsg+0x6e8/0x810 net/socket.c:2350 ___sys_sendmsg+0xf3/0x170 net/socket.c:2404 __sys_sendmsg+0xe5/0x1b0 net/socket.c:2433 do_syscall_64+0x2d/0x70 arch/x86/entry/common.c:46 [NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H', score=7.1) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: sched: Fix out-of-bound access in uclamp Util-clamp places tasks in different buckets based on their clamp values for performance reasons. However, the size of buckets is currently computed using a rounding division, which can lead to an off-by-one error in some configurations. For instance, with 20 buckets, the bucket size will be 1024/20=51. A task with a clamp of 1024 will be mapped to bucket id 1024/51=20. Sadly, correct indexes are in range [0,19], hence leading to an out of bound memory access. Clamp the bucket id to fix the issue. [NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H', score=7.1) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: ethernet:enic: Fix a use after free bug in enic_hard_start_xmit In enic_hard_start_xmit, it calls enic_queue_wq_skb(). Inside enic_queue_wq_skb, if some error happens, the skb will be freed by dev_kfree_skb(skb). But the freed skb is still used in skb_tx_timestamp(skb). My patch makes enic_queue_wq_skb() return error and goto spin_unlock() incase of error. The solution is provided by Govind. See https://lkml.org/lkml/2021/4/30/961. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: ARM: 9064/1: hw_breakpoint: Do not directly check the event's overflow_handler hook The commit 1879445dfa7b ("perf/core: Set event's default ::overflow_handler()") set a default event->overflow_handler in perf_event_alloc(), and replace the check event->overflow_handler with is_default_overflow_handler(), but one is missing. Currently, the bp->overflow_handler can not be NULL. As a result, enable_single_step() is always not invoked. Comments from Zhen Lei: https://patchwork.kernel.org/project/linux-arm-kernel/patch/20210207105934.2001-1-thunder.leizhen@huawei.com/ [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: net: Only allow init netns to set default tcp cong to a restricted algo tcp_set_default_congestion_control() is netns-safe in that it writes to &net->ipv4.tcp_congestion_control, but it also sets ca->flags |= TCP_CONG_NON_RESTRICTED which is not namespaced. This has the unintended side-effect of changing the global net.ipv4.tcp_allowed_congestion_control sysctl, despite the fact that it is read-only: 97684f0970f6 ("net: Make tcp_allowed_congestion_control readonly in non-init netns") Resolve this netns "leak" by only allowing the init netns to set the default algorithm to one that is restricted. This restriction could be removed if tcp_allowed_congestion_control were namespace-ified in the future. This bug was uncovered with https://github.com/JonathonReinhart/linux-netns-sysctl-verify [NistCWE(cwe='CWE-400')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: RDMA/siw: Fix a use after free in siw_alloc_mr Our code analyzer reported a UAF. In siw_alloc_mr(), it calls siw_mr_add_mem(mr,..). In the implementation of siw_mr_add_mem(), mem is assigned to mr->mem and then mem is freed via kfree(mem) if xa_alloc_cyclic() failed. Here, mr->mem still point to a freed object. After, the execution continue up to the err_out branch of siw_alloc_mr, and the freed mr->mem is used in siw_mr_drop_mem(mr). My patch moves "mr->mem = mem" behind the if (xa_alloc_cyclic(..)<0) {} section, to avoid the uaf. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: net:emac/emac-mac: Fix a use after free in emac_mac_tx_buf_send In emac_mac_tx_buf_send, it calls emac_tx_fill_tpd(..,skb,..). If some error happens in emac_tx_fill_tpd(), the skb will be freed via dev_kfree_skb(skb) in error branch of emac_tx_fill_tpd(). But the freed skb is still used via skb->len by netdev_sent_queue(,skb->len). As i observed that emac_tx_fill_tpd() haven't modified the value of skb->len, thus my patch assigns skb->len to 'len' before the possible free and use 'len' instead of skb->len later. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: bnxt_en: Fix RX consumer index logic in the error path. In bnxt_rx_pkt(), the RX buffers are expected to complete in order. If the RX consumer index indicates an out of order buffer completion, it means we are hitting a hardware bug and the driver will abort all remaining RX packets and reset the RX ring. The RX consumer index that we pass to bnxt_discard_rx() is not correct. We should be passing the current index (tmp_raw_cons) instead of the old index (raw_cons). This bug can cause us to be at the wrong index when trying to abort the next RX packet. It can crash like this: #0 [ffff9bbcdf5c39a8] machine_kexec at ffffffff9b05e007 #1 [ffff9bbcdf5c3a00] __crash_kexec at ffffffff9b111232 #2 [ffff9bbcdf5c3ad0] panic at ffffffff9b07d61e #3 [ffff9bbcdf5c3b50] oops_end at ffffffff9b030978 #4 [ffff9bbcdf5c3b78] no_context at ffffffff9b06aaf0 #5 [ffff9bbcdf5c3bd8] __bad_area_nosemaphore at ffffffff9b06ae2e #6 [ffff9bbcdf5c3c28] bad_area_nosemaphore at ffffffff9b06af24 #7 [ffff9bbcdf5c3c38] __do_page_fault at ffffffff9b06b67e #8 [ffff9bbcdf5c3cb0] do_page_fault at ffffffff9b06bb12 #9 [ffff9bbcdf5c3ce0] page_fault at ffffffff9bc015c5 [exception RIP: bnxt_rx_pkt+237] RIP: ffffffffc0259cdd RSP: ffff9bbcdf5c3d98 RFLAGS: 00010213 RAX: 000000005dd8097f RBX: ffff9ba4cb11b7e0 RCX: ffffa923cf6e9000 RDX: 0000000000000fff RSI: 0000000000000627 RDI: 0000000000001000 RBP: ffff9bbcdf5c3e60 R8: 0000000000420003 R9: 000000000000020d R10: ffffa923cf6ec138 R11: ffff9bbcdf5c3e83 R12: ffff9ba4d6f928c0 R13: ffff9ba4cac28080 R14: ffff9ba4cb11b7f0 R15: ffff9ba4d5a30000 ORIG_RAX: ffffffffffffffff CS: 0010 SS: 0018 [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: m68k: mvme147,mvme16x: Don't wipe PCC timer config bits Don't clear the timer 1 configuration bits when clearing the interrupt flag and counter overflow. As Michael reported, "This results in no timer interrupts being delivered after the first. Initialization then hangs in calibrate_delay as the jiffies counter is not updated." On mvme16x, enable the timer after requesting the irq, consistent with mvme147. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: soundwire: stream: fix memory leak in stream config error path When stream config is failed, master runtime will release all slave runtime in the slave_rt_list, but slave runtime is not added to the list at this time. This patch frees slave runtime in the config error path to fix the memory leak. [NistCWE(cwe='CWE-401')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: powerpc/64s: Fix pte update for kernel memory on radix When adding a PTE a ptesync is needed to order the update of the PTE with subsequent accesses otherwise a spurious fault may be raised. radix__set_pte_at() does not do this for performance gains. For non-kernel memory this is not an issue as any faults of this kind are corrected by the page fault handler. For kernel memory these faults are not handled. The current solution is that there is a ptesync in flush_cache_vmap() which should be called when mapping from the vmalloc region. However, map_kernel_page() does not call flush_cache_vmap(). This is troublesome in particular for code patching with Strict RWX on radix. In do_patch_instruction() the page frame that contains the instruction to be patched is mapped and then immediately patched. With no ordering or synchronization between setting up the PTE and writing to the page it is possible for faults. As the code patching is done using __put_user_asm_goto() the resulting fault is obscured - but using a normal store instead it can be seen: BUG: Unable to handle kernel data access on write at 0xc008000008f24a3c Faulting instruction address: 0xc00000000008bd74 Oops: Kernel access of bad area, sig: 11 [#1] LE PAGE_SIZE=64K MMU=Radix SMP NR_CPUS=2048 NUMA PowerNV Modules linked in: nop_module(PO+) [last unloaded: nop_module] CPU: 4 PID: 757 Comm: sh Tainted: P O 5.10.0-rc5-01361-ge3c1b78c8440-dirty #43 NIP: c00000000008bd74 LR: c00000000008bd50 CTR: c000000000025810 REGS: c000000016f634a0 TRAP: 0300 Tainted: P O (5.10.0-rc5-01361-ge3c1b78c8440-dirty) MSR: 9000000000009033 <SF,HV,EE,ME,IR,DR,RI,LE> CR: 44002884 XER: 00000000 CFAR: c00000000007c68c DAR: c008000008f24a3c DSISR: 42000000 IRQMASK: 1 This results in the kind of issue reported here: https://lore.kernel.org/linuxppc-dev/15AC5B0E-A221-4B8C-9039-FA96B8EF7C88@lca.pw/ Chris Riedl suggested a reliable way to reproduce the issue: $ mount -t debugfs none /sys/kernel/debug $ (while true; do echo function > /sys/kernel/debug/tracing/current_tracer ; echo nop > /sys/kernel/debug/tracing/current_tracer ; done) & Turning ftrace on and off does a large amount of code patching which in usually less then 5min will crash giving a trace like: ftrace-powerpc: (____ptrval____): replaced (4b473b11) != old (60000000) ------------[ ftrace bug ]------------ ftrace failed to modify [<c000000000bf8e5c>] napi_busy_loop+0xc/0x390 actual: 11:3b:47:4b Setting ftrace call site to call ftrace function ftrace record flags: 80000001 (1) expected tramp: c00000000006c96c ------------[ cut here ]------------ WARNING: CPU: 4 PID: 809 at kernel/trace/ftrace.c:2065 ftrace_bug+0x28c/0x2e8 Modules linked in: nop_module(PO-) [last unloaded: nop_module] CPU: 4 PID: 809 Comm: sh Tainted: P O 5.10.0-rc5-01360-gf878ccaf250a #1 NIP: c00000000024f334 LR: c00000000024f330 CTR: c0000000001a5af0 REGS: c000000004c8b760 TRAP: 0700 Tainted: P O (5.10.0-rc5-01360-gf878ccaf250a) MSR: 900000000282b033 <SF,HV,VEC,VSX,EE,FP,ME,IR,DR,RI,LE> CR: 28008848 XER: 20040000 CFAR: c0000000001a9c98 IRQMASK: 0 GPR00: c00000000024f330 c000000004c8b9f0 c000000002770600 0000000000000022 GPR04: 00000000ffff7fff c000000004c8b6d0 0000000000000027 c0000007fe9bcdd8 GPR08: 0000000000000023 ffffffffffffffd8 0000000000000027 c000000002613118 GPR12: 0000000000008000 c0000007fffdca00 0000000000000000 0000000000000000 GPR16: 0000000023ec37c5 0000000000000000 0000000000000000 0000000000000008 GPR20: c000000004c8bc90 c0000000027a2d20 c000000004c8bcd0 c000000002612fe8 GPR24: 0000000000000038 0000000000000030 0000000000000028 0000000000000020 GPR28: c000000000ff1b68 c000000000bf8e5c c00000000312f700 c000000000fbb9b0 NIP ftrace_bug+0x28c/0x2e8 LR ftrace_bug+0x288/0x2e8 Call T ---truncated--- [] None NistCVSS3(cvss='AV:L/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H', score=4.4) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: nvmet-tcp: fix incorrect locking in state_change sk callback We are not changing anything in the TCP connection state so we should not take a write_lock but rather a read lock. This caused a deadlock when running nvmet-tcp and nvme-tcp on the same system, where state_change callbacks on the host and on the controller side have causal relationship and made lockdep report on this with blktests: ================================ WARNING: inconsistent lock state 5.12.0-rc3 #1 Tainted: G I -------------------------------- inconsistent {IN-SOFTIRQ-W} -> {SOFTIRQ-ON-R} usage. nvme/1324 [HC0[0]:SC0[0]:HE1:SE1] takes: ffff888363151000 (clock-AF_INET){++-?}-{2:2}, at: nvme_tcp_state_change+0x21/0x150 [nvme_tcp] {IN-SOFTIRQ-W} state was registered at: __lock_acquire+0x79b/0x18d0 lock_acquire+0x1ca/0x480 _raw_write_lock_bh+0x39/0x80 nvmet_tcp_state_change+0x21/0x170 [nvmet_tcp] tcp_fin+0x2a8/0x780 tcp_data_queue+0xf94/0x1f20 tcp_rcv_established+0x6ba/0x1f00 tcp_v4_do_rcv+0x502/0x760 tcp_v4_rcv+0x257e/0x3430 ip_protocol_deliver_rcu+0x69/0x6a0 ip_local_deliver_finish+0x1e2/0x2f0 ip_local_deliver+0x1a2/0x420 ip_rcv+0x4fb/0x6b0 __netif_receive_skb_one_core+0x162/0x1b0 process_backlog+0x1ff/0x770 __napi_poll.constprop.0+0xa9/0x5c0 net_rx_action+0x7b3/0xb30 __do_softirq+0x1f0/0x940 do_softirq+0xa1/0xd0 __local_bh_enable_ip+0xd8/0x100 ip_finish_output2+0x6b7/0x18a0 __ip_queue_xmit+0x706/0x1aa0 __tcp_transmit_skb+0x2068/0x2e20 tcp_write_xmit+0xc9e/0x2bb0 __tcp_push_pending_frames+0x92/0x310 inet_shutdown+0x158/0x300 __nvme_tcp_stop_queue+0x36/0x270 [nvme_tcp] nvme_tcp_stop_queue+0x87/0xb0 [nvme_tcp] nvme_tcp_teardown_admin_queue+0x69/0xe0 [nvme_tcp] nvme_do_delete_ctrl+0x100/0x10c [nvme_core] nvme_sysfs_delete.cold+0x8/0xd [nvme_core] kernfs_fop_write_iter+0x2c7/0x460 new_sync_write+0x36c/0x610 vfs_write+0x5c0/0x870 ksys_write+0xf9/0x1d0 do_syscall_64+0x33/0x40 entry_SYSCALL_64_after_hwframe+0x44/0xae irq event stamp: 10687 hardirqs last enabled at (10687): [<ffffffff9ec376bd>] _raw_spin_unlock_irqrestore+0x2d/0x40 hardirqs last disabled at (10686): [<ffffffff9ec374d8>] _raw_spin_lock_irqsave+0x68/0x90 softirqs last enabled at (10684): [<ffffffff9f000608>] __do_softirq+0x608/0x940 softirqs last disabled at (10649): [<ffffffff9cdedd31>] do_softirq+0xa1/0xd0 other info that might help us debug this: Possible unsafe locking scenario: CPU0 ---- lock(clock-AF_INET); <Interrupt> lock(clock-AF_INET); *** DEADLOCK *** 5 locks held by nvme/1324: #0: ffff8884a01fe470 (sb_writers#4){.+.+}-{0:0}, at: ksys_write+0xf9/0x1d0 #1: ffff8886e435c090 (&of->mutex){+.+.}-{3:3}, at: kernfs_fop_write_iter+0x216/0x460 #2: ffff888104d90c38 (kn->active#255){++++}-{0:0}, at: kernfs_remove_self+0x22d/0x330 #3: ffff8884634538d0 (&queue->queue_lock){+.+.}-{3:3}, at: nvme_tcp_stop_queue+0x52/0xb0 [nvme_tcp] #4: ffff888363150d30 (sk_lock-AF_INET){+.+.}-{0:0}, at: inet_shutdown+0x59/0x300 stack backtrace: CPU: 26 PID: 1324 Comm: nvme Tainted: G I 5.12.0-rc3 #1 Hardware name: Dell Inc. PowerEdge R640/06NR82, BIOS 2.10.0 11/12/2020 Call Trace: dump_stack+0x93/0xc2 mark_lock_irq.cold+0x2c/0xb3 ? verify_lock_unused+0x390/0x390 ? stack_trace_consume_entry+0x160/0x160 ? lock_downgrade+0x100/0x100 ? save_trace+0x88/0x5e0 ? _raw_spin_unlock_irqrestore+0x2d/0x40 mark_lock+0x530/0x1470 ? mark_lock_irq+0x1d10/0x1d10 ? enqueue_timer+0x660/0x660 mark_usage+0x215/0x2a0 __lock_acquire+0x79b/0x18d0 ? tcp_schedule_loss_probe.part.0+0x38c/0x520 lock_acquire+0x1ca/0x480 ? nvme_tcp_state_change+0x21/0x150 [nvme_tcp] ? rcu_read_unlock+0x40/0x40 ? tcp_mtu_probe+0x1ae0/0x1ae0 ? kmalloc_reserve+0xa0/0xa0 ? sysfs_file_ops+0x170/0x170 _raw_read_lock+0x3d/0xa0 ? nvme_tcp_state_change+0x21/0x150 [nvme_tcp] nvme_tcp_state_change+0x21/0x150 [nvme_tcp] ? sysfs_file_ops ---truncated--- [NistCWE(cwe='CWE-667')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: spi: fsl-lpspi: Fix PM reference leak in lpspi_prepare_xfer_hardware() pm_runtime_get_sync will increment pm usage counter even it failed. Forgetting to putting operation will result in reference leak here. Fix it by replacing it with pm_runtime_resume_and_get to keep usage counter balanced. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: bus: qcom: Put child node before return Put child node before return to fix potential reference count leak. Generally, the reference count of child is incremented and decremented automatically in the macro for_each_available_child_of_node() and should be decremented manually if the loop is broken in loop body. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: crypto: qat - ADF_STATUS_PF_RUNNING should be set after adf_dev_init ADF_STATUS_PF_RUNNING is (only) used and checked by adf_vf2pf_shutdown() before calling adf_iov_putmsg()->mutex_lock(vf2pf_lock), however the vf2pf_lock is initialized in adf_dev_init(), which can fail and when it fail, the vf2pf_lock is either not initialized or destroyed, a subsequent use of vf2pf_lock will cause issue. To fix this issue, only set this flag if adf_dev_init() returns 0. [ 7.178404] BUG: KASAN: user-memory-access in __mutex_lock.isra.0+0x1ac/0x7c0 [ 7.180345] Call Trace: [ 7.182576] mutex_lock+0xc9/0xd0 [ 7.183257] adf_iov_putmsg+0x118/0x1a0 [intel_qat] [ 7.183541] adf_vf2pf_shutdown+0x4d/0x7b [intel_qat] [ 7.183834] adf_dev_shutdown+0x172/0x2b0 [intel_qat] [ 7.184127] adf_probe+0x5e9/0x600 [qat_dh895xccvf] [NistCWE(cwe='CWE-908')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: rtw88: Fix array overrun in rtw_get_tx_power_params() Using a kernel with the Undefined Behaviour Sanity Checker (UBSAN) enabled, the following array overrun is logged: ================================================================================ UBSAN: array-index-out-of-bounds in /home/finger/wireless-drivers-next/drivers/net/wireless/realtek/rtw88/phy.c:1789:34 index 5 is out of range for type 'u8 [5]' CPU: 2 PID: 84 Comm: kworker/u16:3 Tainted: G O 5.12.0-rc5-00086-gd88bba47038e-dirty #651 Hardware name: TOSHIBA TECRA A50-A/TECRA A50-A, BIOS Version 4.50 09/29/2014 Workqueue: phy0 ieee80211_scan_work [mac80211] Call Trace: dump_stack+0x64/0x7c ubsan_epilogue+0x5/0x40 __ubsan_handle_out_of_bounds.cold+0x43/0x48 rtw_get_tx_power_params+0x83a/drivers/net/wireless/realtek/rtw88/0xad0 [rtw_core] ? rtw_pci_read16+0x20/0x20 [rtw_pci] ? check_hw_ready+0x50/0x90 [rtw_core] rtw_phy_get_tx_power_index+0x4d/0xd0 [rtw_core] rtw_phy_set_tx_power_level+0xee/0x1b0 [rtw_core] rtw_set_channel+0xab/0x110 [rtw_core] rtw_ops_config+0x87/0xc0 [rtw_core] ieee80211_hw_config+0x9d/0x130 [mac80211] ieee80211_scan_state_set_channel+0x81/0x170 [mac80211] ieee80211_scan_work+0x19f/0x2a0 [mac80211] process_one_work+0x1dd/0x3a0 worker_thread+0x49/0x330 ? rescuer_thread+0x3a0/0x3a0 kthread+0x134/0x150 ? kthread_create_worker_on_cpu+0x70/0x70 ret_from_fork+0x22/0x30 ================================================================================ The statement where an array is being overrun is shown in the following snippet: if (rate <= DESC_RATE11M) tx_power = pwr_idx_2g->cck_base[group]; else ====> tx_power = pwr_idx_2g->bw40_base[group]; The associated arrays are defined in main.h as follows: struct rtw_2g_txpwr_idx { u8 cck_base[6]; u8 bw40_base[5]; struct rtw_2g_1s_pwr_idx_diff ht_1s_diff; struct rtw_2g_ns_pwr_idx_diff ht_2s_diff; struct rtw_2g_ns_pwr_idx_diff ht_3s_diff; struct rtw_2g_ns_pwr_idx_diff ht_4s_diff; }; The problem arises because the value of group is 5 for channel 14. The trivial increase in the dimension of bw40_base fails as this struct must match the layout of efuse. The fix is to add the rate as an argument to rtw_get_channel_group() and set the group for channel 14 to 4 if rate <= DESC_RATE11M. This patch fixes commit fa6dfe6bff24 ("rtw88: resolve order of tx power setting routines") [NistCWE(cwe='CWE-129')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: uio_hv_generic: Fix a memory leak in error handling paths If 'vmbus_establish_gpadl()' fails, the (recv|send)_gpadl will not be updated and 'hv_uio_cleanup()' in the error handling path will not be able to free the corresponding buffer. In such a case, we need to free the buffer explicitly. [NistCWE(cwe='CWE-401')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: platform/x86: dell-smbios-wmi: Fix oops on rmmod dell_smbios init_dell_smbios_wmi() only registers the dell_smbios_wmi_driver on systems where the Dell WMI interface is supported. While exit_dell_smbios_wmi() unregisters it unconditionally, this leads to the following oops: [ 175.722921] ------------[ cut here ]------------ [ 175.722925] Unexpected driver unregister! [ 175.722939] WARNING: CPU: 1 PID: 3630 at drivers/base/driver.c:194 driver_unregister+0x38/0x40 ... [ 175.723089] Call Trace: [ 175.723094] cleanup_module+0x5/0xedd [dell_smbios] ... [ 175.723148] ---[ end trace 064c34e1ad49509d ]--- Make the unregister happen on the same condition the register happens to fix this. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: RDMA/rxe: Clear all QP fields if creation failed rxe_qp_do_cleanup() relies on valid pointer values in QP for the properly created ones, but in case rxe_qp_from_init() failed it was filled with garbage and caused tot the following error. refcount_t: underflow; use-after-free. WARNING: CPU: 1 PID: 12560 at lib/refcount.c:28 refcount_warn_saturate+0x1d1/0x1e0 lib/refcount.c:28 Modules linked in: CPU: 1 PID: 12560 Comm: syz-executor.4 Not tainted 5.12.0-syzkaller #0 Hardware name: Google Google Compute Engine/Google Compute Engine, BIOS Google 01/01/2011 RIP: 0010:refcount_warn_saturate+0x1d1/0x1e0 lib/refcount.c:28 Code: e9 db fe ff ff 48 89 df e8 2c c2 ea fd e9 8a fe ff ff e8 72 6a a7 fd 48 c7 c7 e0 b2 c1 89 c6 05 dc 3a e6 09 01 e8 ee 74 fb 04 <0f> 0b e9 af fe ff ff 0f 1f 84 00 00 00 00 00 41 56 41 55 41 54 55 RSP: 0018:ffffc900097ceba8 EFLAGS: 00010286 RAX: 0000000000000000 RBX: 0000000000000000 RCX: 0000000000000000 RDX: 0000000000040000 RSI: ffffffff815bb075 RDI: fffff520012f9d67 RBP: 0000000000000003 R08: 0000000000000000 R09: 0000000000000000 R10: ffffffff815b4eae R11: 0000000000000000 R12: ffff8880322a4800 R13: ffff8880322a4940 R14: ffff888033044e00 R15: 0000000000000000 FS: 00007f6eb2be3700(0000) GS:ffff8880b9d00000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 00007fdbe5d41000 CR3: 000000001d181000 CR4: 00000000001506e0 DR0: 0000000000000000 DR1: 0000000000000000 DR2: 0000000000000000 DR3: 0000000000000000 DR6: 00000000fffe0ff0 DR7: 0000000000000400 Call Trace: __refcount_sub_and_test include/linux/refcount.h:283 [inline] __refcount_dec_and_test include/linux/refcount.h:315 [inline] refcount_dec_and_test include/linux/refcount.h:333 [inline] kref_put include/linux/kref.h:64 [inline] rxe_qp_do_cleanup+0x96f/0xaf0 drivers/infiniband/sw/rxe/rxe_qp.c:805 execute_in_process_context+0x37/0x150 kernel/workqueue.c:3327 rxe_elem_release+0x9f/0x180 drivers/infiniband/sw/rxe/rxe_pool.c:391 kref_put include/linux/kref.h:65 [inline] rxe_create_qp+0x2cd/0x310 drivers/infiniband/sw/rxe/rxe_verbs.c:425 _ib_create_qp drivers/infiniband/core/core_priv.h:331 [inline] ib_create_named_qp+0x2ad/0x1370 drivers/infiniband/core/verbs.c:1231 ib_create_qp include/rdma/ib_verbs.h:3644 [inline] create_mad_qp+0x177/0x2d0 drivers/infiniband/core/mad.c:2920 ib_mad_port_open drivers/infiniband/core/mad.c:3001 [inline] ib_mad_init_device+0xd6f/0x1400 drivers/infiniband/core/mad.c:3092 add_client_context+0x405/0x5e0 drivers/infiniband/core/device.c:717 enable_device_and_get+0x1cd/0x3b0 drivers/infiniband/core/device.c:1331 ib_register_device drivers/infiniband/core/device.c:1413 [inline] ib_register_device+0x7c7/0xa50 drivers/infiniband/core/device.c:1365 rxe_register_device+0x3d5/0x4a0 drivers/infiniband/sw/rxe/rxe_verbs.c:1147 rxe_add+0x12fe/0x16d0 drivers/infiniband/sw/rxe/rxe.c:247 rxe_net_add+0x8c/0xe0 drivers/infiniband/sw/rxe/rxe_net.c:503 rxe_newlink drivers/infiniband/sw/rxe/rxe.c:269 [inline] rxe_newlink+0xb7/0xe0 drivers/infiniband/sw/rxe/rxe.c:250 nldev_newlink+0x30e/0x550 drivers/infiniband/core/nldev.c:1555 rdma_nl_rcv_msg+0x36d/0x690 drivers/infiniband/core/netlink.c:195 rdma_nl_rcv_skb drivers/infiniband/core/netlink.c:239 [inline] rdma_nl_rcv+0x2ee/0x430 drivers/infiniband/core/netlink.c:259 netlink_unicast_kernel net/netlink/af_netlink.c:1312 [inline] netlink_unicast+0x533/0x7d0 net/netlink/af_netlink.c:1338 netlink_sendmsg+0x856/0xd90 net/netlink/af_netlink.c:1927 sock_sendmsg_nosec net/socket.c:654 [inline] sock_sendmsg+0xcf/0x120 net/socket.c:674 ____sys_sendmsg+0x6e8/0x810 net/socket.c:2350 ___sys_sendmsg+0xf3/0x170 net/socket.c:2404 __sys_sendmsg+0xe5/0x1b0 net/socket.c:2433 do_syscall_64+0x3a/0xb0 arch/x86/entry/common.c:47 entry_SYSCALL_64_after_hwframe+0 ---truncated--- [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L', score=5.3) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: neighbour: allow NUD_NOARP entries to be forced GCed IFF_POINTOPOINT interfaces use NUD_NOARP entries for IPv6. It's possible to fill up the neighbour table with enough entries that it will overflow for valid connections after that. This behaviour is more prevalent after commit 58956317c8de ("neighbor: Improve garbage collection") is applied, as it prevents removal from entries that are not NUD_FAILED, unless they are more than 5s old. [NistCWE(cwe='CWE-190')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: x86/kvm: Disable kvmclock on all CPUs on shutdown Currenly, we disable kvmclock from machine_shutdown() hook and this only happens for boot CPU. We need to disable it for all CPUs to guard against memory corruption e.g. on restore from hibernate. Note, writing '0' to kvmclock MSR doesn't clear memory location, it just prevents hypervisor from updating the location so for the short while after write and while CPU is still alive, the clock remains usable and correct so we don't need to switch to some other clocksource. [NistCWE(cwe='CWE-459')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H', score=7.1) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: x86/kvm: Teardown PV features on boot CPU as well Various PV features (Async PF, PV EOI, steal time) work through memory shared with hypervisor and when we restore from hibernation we must properly teardown all these features to make sure hypervisor doesn't write to stale locations after we jump to the previously hibernated kernel (which can try to place anything there). For secondary CPUs the job is already done by kvm_cpu_down_prepare(), register syscore ops to do the same for boot CPU. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: ocfs2: fix data corruption by fallocate When fallocate punches holes out of inode size, if original isize is in the middle of last cluster, then the part from isize to the end of the cluster will be zeroed with buffer write, at that time isize is not yet updated to match the new size, if writeback is kicked in, it will invoke ocfs2_writepage()->block_write_full_page() where the pages out of inode size will be dropped. That will cause file corruption. Fix this by zero out eof blocks when extending the inode size. Running the following command with qemu-image 4.2.1 can get a corrupted coverted image file easily. qemu-img convert -p -t none -T none -f qcow2 $qcow_image \ -O qcow2 -o compat=1.1 $qcow_image.conv The usage of fallocate in qemu is like this, it first punches holes out of inode size, then extend the inode size. fallocate(11, FALLOC_FL_KEEP_SIZE|FALLOC_FL_PUNCH_HOLE, 2276196352, 65536) = 0 fallocate(11, 0, 2276196352, 65536) = 0 v1: https://www.spinics.net/lists/linux-fsdevel/msg193999.html v2: https://lore.kernel.org/linux-fsdevel/20210525093034.GB4112@quack2.suse.cz/T/ [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: ext4: fix bug on in ext4_es_cache_extent as ext4_split_extent_at failed We got follow bug_on when run fsstress with injecting IO fault: [130747.323114] kernel BUG at fs/ext4/extents_status.c:762! [130747.323117] Internal error: Oops - BUG: 0 [#1] SMP ...... [130747.334329] Call trace: [130747.334553] ext4_es_cache_extent+0x150/0x168 [ext4] [130747.334975] ext4_cache_extents+0x64/0xe8 [ext4] [130747.335368] ext4_find_extent+0x300/0x330 [ext4] [130747.335759] ext4_ext_map_blocks+0x74/0x1178 [ext4] [130747.336179] ext4_map_blocks+0x2f4/0x5f0 [ext4] [130747.336567] ext4_mpage_readpages+0x4a8/0x7a8 [ext4] [130747.336995] ext4_readpage+0x54/0x100 [ext4] [130747.337359] generic_file_buffered_read+0x410/0xae8 [130747.337767] generic_file_read_iter+0x114/0x190 [130747.338152] ext4_file_read_iter+0x5c/0x140 [ext4] [130747.338556] __vfs_read+0x11c/0x188 [130747.338851] vfs_read+0x94/0x150 [130747.339110] ksys_read+0x74/0xf0 This patch's modification is according to Jan Kara's suggestion in: https://patchwork.ozlabs.org/project/linux-ext4/patch/20210428085158.3728201-1-yebin10@huawei.com/ "I see. Now I understand your patch. Honestly, seeing how fragile is trying to fix extent tree after split has failed in the middle, I would probably go even further and make sure we fix the tree properly in case of ENOSPC and EDQUOT (those are easily user triggerable). Anything else indicates a HW problem or fs corruption so I'd rather leave the extent tree as is and don't try to fix it (which also means we will not create overlapping extents)." [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: pid: take a reference when initializing `cad_pid` During boot, kernel_init_freeable() initializes `cad_pid` to the init task's struct pid. Later on, we may change `cad_pid` via a sysctl, and when this happens proc_do_cad_pid() will increment the refcount on the new pid via get_pid(), and will decrement the refcount on the old pid via put_pid(). As we never called get_pid() when we initialized `cad_pid`, we decrement a reference we never incremented, can therefore free the init task's struct pid early. As there can be dangling references to the struct pid, we can later encounter a use-after-free (e.g. when delivering signals). This was spotted when fuzzing v5.13-rc3 with Syzkaller, but seems to have been around since the conversion of `cad_pid` to struct pid in commit 9ec52099e4b8 ("[PATCH] replace cad_pid by a struct pid") from the pre-KASAN stone age of v2.6.19. Fix this by getting a reference to the init task's struct pid when we assign it to `cad_pid`. Full KASAN splat below. ================================================================== BUG: KASAN: use-after-free in ns_of_pid include/linux/pid.h:153 [inline] BUG: KASAN: use-after-free in task_active_pid_ns+0xc0/0xc8 kernel/pid.c:509 Read of size 4 at addr ffff23794dda0004 by task syz-executor.0/273 CPU: 1 PID: 273 Comm: syz-executor.0 Not tainted 5.12.0-00001-g9aef892b2d15 #1 Hardware name: linux,dummy-virt (DT) Call trace: ns_of_pid include/linux/pid.h:153 [inline] task_active_pid_ns+0xc0/0xc8 kernel/pid.c:509 do_notify_parent+0x308/0xe60 kernel/signal.c:1950 exit_notify kernel/exit.c:682 [inline] do_exit+0x2334/0x2bd0 kernel/exit.c:845 do_group_exit+0x108/0x2c8 kernel/exit.c:922 get_signal+0x4e4/0x2a88 kernel/signal.c:2781 do_signal arch/arm64/kernel/signal.c:882 [inline] do_notify_resume+0x300/0x970 arch/arm64/kernel/signal.c:936 work_pending+0xc/0x2dc Allocated by task 0: slab_post_alloc_hook+0x50/0x5c0 mm/slab.h:516 slab_alloc_node mm/slub.c:2907 [inline] slab_alloc mm/slub.c:2915 [inline] kmem_cache_alloc+0x1f4/0x4c0 mm/slub.c:2920 alloc_pid+0xdc/0xc00 kernel/pid.c:180 copy_process+0x2794/0x5e18 kernel/fork.c:2129 kernel_clone+0x194/0x13c8 kernel/fork.c:2500 kernel_thread+0xd4/0x110 kernel/fork.c:2552 rest_init+0x44/0x4a0 init/main.c:687 arch_call_rest_init+0x1c/0x28 start_kernel+0x520/0x554 init/main.c:1064 0x0 Freed by task 270: slab_free_hook mm/slub.c:1562 [inline] slab_free_freelist_hook+0x98/0x260 mm/slub.c:1600 slab_free mm/slub.c:3161 [inline] kmem_cache_free+0x224/0x8e0 mm/slub.c:3177 put_pid.part.4+0xe0/0x1a8 kernel/pid.c:114 put_pid+0x30/0x48 kernel/pid.c:109 proc_do_cad_pid+0x190/0x1b0 kernel/sysctl.c:1401 proc_sys_call_handler+0x338/0x4b0 fs/proc/proc_sysctl.c:591 proc_sys_write+0x34/0x48 fs/proc/proc_sysctl.c:617 call_write_iter include/linux/fs.h:1977 [inline] new_sync_write+0x3ac/0x510 fs/read_write.c:518 vfs_write fs/read_write.c:605 [inline] vfs_write+0x9c4/0x1018 fs/read_write.c:585 ksys_write+0x124/0x240 fs/read_write.c:658 __do_sys_write fs/read_write.c:670 [inline] __se_sys_write fs/read_write.c:667 [inline] __arm64_sys_write+0x78/0xb0 fs/read_write.c:667 __invoke_syscall arch/arm64/kernel/syscall.c:37 [inline] invoke_syscall arch/arm64/kernel/syscall.c:49 [inline] el0_svc_common.constprop.1+0x16c/0x388 arch/arm64/kernel/syscall.c:129 do_el0_svc+0xf8/0x150 arch/arm64/kernel/syscall.c:168 el0_svc+0x28/0x38 arch/arm64/kernel/entry-common.c:416 el0_sync_handler+0x134/0x180 arch/arm64/kernel/entry-common.c:432 el0_sync+0x154/0x180 arch/arm64/kernel/entry.S:701 The buggy address belongs to the object at ffff23794dda0000 which belongs to the cache pid of size 224 The buggy address is located 4 bytes inside of 224-byte region [ff ---truncated--- [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: HID: magicmouse: fix NULL-deref on disconnect Commit 9d7b18668956 ("HID: magicmouse: add support for Apple Magic Trackpad 2") added a sanity check for an Apple trackpad but returned success instead of -ENODEV when the check failed. This means that the remove callback will dereference the never-initialised driver data pointer when the driver is later unbound (e.g. on USB disconnect). [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: net: caif: fix memory leak in cfusbl_device_notify In case of caif_enroll_dev() fail, allocated link_support won't be assigned to the corresponding structure. So simply free allocated pointer in case of error. [NistCWE(cwe='CWE-401')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: net: caif: fix memory leak in caif_device_notify In case of caif_enroll_dev() fail, allocated link_support won't be assigned to the corresponding structure. So simply free allocated pointer in case of error [NistCWE(cwe='CWE-401')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: ipv6: Fix KASAN: slab-out-of-bounds Read in fib6_nh_flush_exceptions Reported by syzbot: HEAD commit: 90c911ad Merge tag 'fixes' of git://git.kernel.org/pub/scm.. git tree: git://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git master dashboard link: https://syzkaller.appspot.com/bug?extid=123aa35098fd3c000eb7 compiler: Debian clang version 11.0.1-2 ================================================================== BUG: KASAN: slab-out-of-bounds in fib6_nh_get_excptn_bucket net/ipv6/route.c:1604 [inline] BUG: KASAN: slab-out-of-bounds in fib6_nh_flush_exceptions+0xbd/0x360 net/ipv6/route.c:1732 Read of size 8 at addr ffff8880145c78f8 by task syz-executor.4/17760 CPU: 0 PID: 17760 Comm: syz-executor.4 Not tainted 5.12.0-rc8-syzkaller #0 Call Trace: <IRQ> __dump_stack lib/dump_stack.c:79 [inline] dump_stack+0x202/0x31e lib/dump_stack.c:120 print_address_description+0x5f/0x3b0 mm/kasan/report.c:232 __kasan_report mm/kasan/report.c:399 [inline] kasan_report+0x15c/0x200 mm/kasan/report.c:416 fib6_nh_get_excptn_bucket net/ipv6/route.c:1604 [inline] fib6_nh_flush_exceptions+0xbd/0x360 net/ipv6/route.c:1732 fib6_nh_release+0x9a/0x430 net/ipv6/route.c:3536 fib6_info_destroy_rcu+0xcb/0x1c0 net/ipv6/ip6_fib.c:174 rcu_do_batch kernel/rcu/tree.c:2559 [inline] rcu_core+0x8f6/0x1450 kernel/rcu/tree.c:2794 __do_softirq+0x372/0x7a6 kernel/softirq.c:345 invoke_softirq kernel/softirq.c:221 [inline] __irq_exit_rcu+0x22c/0x260 kernel/softirq.c:422 irq_exit_rcu+0x5/0x20 kernel/softirq.c:434 sysvec_apic_timer_interrupt+0x91/0xb0 arch/x86/kernel/apic/apic.c:1100 </IRQ> asm_sysvec_apic_timer_interrupt+0x12/0x20 arch/x86/include/asm/idtentry.h:632 RIP: 0010:lock_acquire+0x1f6/0x720 kernel/locking/lockdep.c:5515 Code: f6 84 24 a1 00 00 00 02 0f 85 8d 02 00 00 f7 c3 00 02 00 00 49 bd 00 00 00 00 00 fc ff df 74 01 fb 48 c7 44 24 40 0e 36 e0 45 <4b> c7 44 3d 00 00 00 00 00 4b c7 44 3d 09 00 00 00 00 43 c7 44 3d RSP: 0018:ffffc90009e06560 EFLAGS: 00000206 RAX: 1ffff920013c0cc0 RBX: 0000000000000246 RCX: dffffc0000000000 RDX: 0000000000000000 RSI: 0000000000000000 RDI: 0000000000000000 RBP: ffffc90009e066e0 R08: dffffc0000000000 R09: fffffbfff1f992b1 R10: fffffbfff1f992b1 R11: 0000000000000000 R12: 0000000000000000 R13: dffffc0000000000 R14: 0000000000000000 R15: 1ffff920013c0cb4 rcu_lock_acquire+0x2a/0x30 include/linux/rcupdate.h:267 rcu_read_lock include/linux/rcupdate.h:656 [inline] ext4_get_group_info+0xea/0x340 fs/ext4/ext4.h:3231 ext4_mb_prefetch+0x123/0x5d0 fs/ext4/mballoc.c:2212 ext4_mb_regular_allocator+0x8a5/0x28f0 fs/ext4/mballoc.c:2379 ext4_mb_new_blocks+0xc6e/0x24f0 fs/ext4/mballoc.c:4982 ext4_ext_map_blocks+0x2be3/0x7210 fs/ext4/extents.c:4238 ext4_map_blocks+0xab3/0x1cb0 fs/ext4/inode.c:638 ext4_getblk+0x187/0x6c0 fs/ext4/inode.c:848 ext4_bread+0x2a/0x1c0 fs/ext4/inode.c:900 ext4_append+0x1a4/0x360 fs/ext4/namei.c:67 ext4_init_new_dir+0x337/0xa10 fs/ext4/namei.c:2768 ext4_mkdir+0x4b8/0xc00 fs/ext4/namei.c:2814 vfs_mkdir+0x45b/0x640 fs/namei.c:3819 ovl_do_mkdir fs/overlayfs/overlayfs.h:161 [inline] ovl_mkdir_real+0x53/0x1a0 fs/overlayfs/dir.c:146 ovl_create_real+0x280/0x490 fs/overlayfs/dir.c:193 ovl_workdir_create+0x425/0x600 fs/overlayfs/super.c:788 ovl_make_workdir+0xed/0x1140 fs/overlayfs/super.c:1355 ovl_get_workdir fs/overlayfs/super.c:1492 [inline] ovl_fill_super+0x39ee/0x5370 fs/overlayfs/super.c:2035 mount_nodev+0x52/0xe0 fs/super.c:1413 legacy_get_tree+0xea/0x180 fs/fs_context.c:592 vfs_get_tree+0x86/0x270 fs/super.c:1497 do_new_mount fs/namespace.c:2903 [inline] path_mount+0x196f/0x2be0 fs/namespace.c:3233 do_mount fs/namespace.c:3246 [inline] __do_sys_mount fs/namespace.c:3454 [inline] __se_sys_mount+0x2f9/0x3b0 fs/namespace.c:3431 do_syscall_64+0x2d/0x70 arch/x86/entry/common.c:46 entry_SYSCALL_64_after_hwframe+0x44/0xae RIP: 0033:0x4665f9 Code: ff ff c3 66 2e 0f 1f 84 ---truncated--- [NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: netfilter: nft_ct: skip expectations for confirmed conntrack nft_ct_expect_obj_eval() calls nf_ct_ext_add() for a confirmed conntrack entry. However, nf_ct_ext_add() can only be called for !nf_ct_is_confirmed(). [ 1825.349056] WARNING: CPU: 0 PID: 1279 at net/netfilter/nf_conntrack_extend.c:48 nf_ct_xt_add+0x18e/0x1a0 [nf_conntrack] [ 1825.351391] RIP: 0010:nf_ct_ext_add+0x18e/0x1a0 [nf_conntrack] [ 1825.351493] Code: 41 5c 41 5d 41 5e 41 5f c3 41 bc 0a 00 00 00 e9 15 ff ff ff ba 09 00 00 00 31 f6 4c 89 ff e8 69 6c 3d e9 eb 96 45 31 ed eb cd <0f> 0b e9 b1 fe ff ff e8 86 79 14 e9 eb bf 0f 1f 40 00 0f 1f 44 00 [ 1825.351721] RSP: 0018:ffffc90002e1f1e8 EFLAGS: 00010202 [ 1825.351790] RAX: 000000000000000e RBX: ffff88814f5783c0 RCX: ffffffffc0e4f887 [ 1825.351881] RDX: dffffc0000000000 RSI: 0000000000000008 RDI: ffff88814f578440 [ 1825.351971] RBP: 0000000000000000 R08: 0000000000000000 R09: ffff88814f578447 [ 1825.352060] R10: ffffed1029eaf088 R11: 0000000000000001 R12: ffff88814f578440 [ 1825.352150] R13: ffff8882053f3a00 R14: 0000000000000000 R15: 0000000000000a20 [ 1825.352240] FS: 00007f992261c900(0000) GS:ffff889faec00000(0000) knlGS:0000000000000000 [ 1825.352343] CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 [ 1825.352417] CR2: 000056070a4d1158 CR3: 000000015efe0000 CR4: 0000000000350ee0 [ 1825.352508] Call Trace: [ 1825.352544] nf_ct_helper_ext_add+0x10/0x60 [nf_conntrack] [ 1825.352641] nft_ct_expect_obj_eval+0x1b8/0x1e0 [nft_ct] [ 1825.352716] nft_do_chain+0x232/0x850 [nf_tables] Add the ct helper extension only for unconfirmed conntrack. Skip rule evaluation if the ct helper extension does not exist. Thus, you can only create expectations from the first packet. It should be possible to remove this limitation by adding a new action to attach a generic ct helper to the first packet. Then, use this ct helper extension from follow up packets to create the ct expectation. While at it, add a missing check to skip the template conntrack too and remove check for IPCT_UNTRACK which is implicit to !ct. [NistCWE(cwe='CWE-273')] None NistCVSS3(cvss='AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N', score=4.6) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: net: lantiq: fix memory corruption in RX ring In a situation where memory allocation or dma mapping fails, an invalid address is programmed into the descriptor. This can lead to memory corruption. If the memory allocation fails, DMA should reuse the previous skb and mapping and drop the packet. This patch also increments rx drop counter. [NistCWE(cwe='CWE-770')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: cxgb4: avoid accessing registers when clearing filters Hardware register having the server TID base can contain invalid values when adapter is in bad state (for example, due to AER fatal error). Reading these invalid values in the register can lead to out-of-bound memory access. So, fix by using the saved server TID base when clearing filters. [NistCWE(cwe='CWE-787')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H', score=7.1) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: gve: Add NULL pointer checks when freeing irqs. When freeing notification blocks, we index priv->msix_vectors. If we failed to allocate priv->msix_vectors (see abort_with_msix_vectors) this could lead to a NULL pointer dereference if the driver is unloaded. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: drm/amdgpu: Fix a use-after-free looks like we forget to set ttm->sg to NULL. Hit panic below [ 1235.844104] general protection fault, probably for non-canonical address 0x6b6b6b6b6b6b7b4b: 0000 [#1] SMP DEBUG_PAGEALLOC NOPTI [ 1235.989074] Call Trace: [ 1235.991751] sg_free_table+0x17/0x20 [ 1235.995667] amdgpu_ttm_backend_unbind.cold+0x4d/0xf7 [amdgpu] [ 1236.002288] amdgpu_ttm_backend_destroy+0x29/0x130 [amdgpu] [ 1236.008464] ttm_tt_destroy+0x1e/0x30 [ttm] [ 1236.013066] ttm_bo_cleanup_memtype_use+0x51/0xa0 [ttm] [ 1236.018783] ttm_bo_release+0x262/0xa50 [ttm] [ 1236.023547] ttm_bo_put+0x82/0xd0 [ttm] [ 1236.027766] amdgpu_bo_unref+0x26/0x50 [amdgpu] [ 1236.032809] amdgpu_amdkfd_gpuvm_alloc_memory_of_gpu+0x7aa/0xd90 [amdgpu] [ 1236.040400] kfd_ioctl_alloc_memory_of_gpu+0xe2/0x330 [amdgpu] [ 1236.046912] kfd_ioctl+0x463/0x690 [amdgpu] [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: btrfs: do not BUG_ON in link_to_fixup_dir While doing error injection testing I got the following panic kernel BUG at fs/btrfs/tree-log.c:1862! invalid opcode: 0000 [#1] SMP NOPTI CPU: 1 PID: 7836 Comm: mount Not tainted 5.13.0-rc1+ #305 Hardware name: QEMU Standard PC (Q35 + ICH9, 2009), BIOS 1.13.0-2.fc32 04/01/2014 RIP: 0010:link_to_fixup_dir+0xd5/0xe0 RSP: 0018:ffffb5800180fa30 EFLAGS: 00010216 RAX: fffffffffffffffb RBX: 00000000fffffffb RCX: ffff8f595287faf0 RDX: ffffb5800180fa37 RSI: ffff8f5954978800 RDI: 0000000000000000 RBP: ffff8f5953af9450 R08: 0000000000000019 R09: 0000000000000001 R10: 000151f408682970 R11: 0000000120021001 R12: ffff8f5954978800 R13: ffff8f595287faf0 R14: ffff8f5953c77dd0 R15: 0000000000000065 FS: 00007fc5284c8c40(0000) GS:ffff8f59bbd00000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 00007fc5287f47c0 CR3: 000000011275e002 CR4: 0000000000370ee0 Call Trace: replay_one_buffer+0x409/0x470 ? btree_read_extent_buffer_pages+0xd0/0x110 walk_up_log_tree+0x157/0x1e0 walk_log_tree+0xa6/0x1d0 btrfs_recover_log_trees+0x1da/0x360 ? replay_one_extent+0x7b0/0x7b0 open_ctree+0x1486/0x1720 btrfs_mount_root.cold+0x12/0xea ? __kmalloc_track_caller+0x12f/0x240 legacy_get_tree+0x24/0x40 vfs_get_tree+0x22/0xb0 vfs_kern_mount.part.0+0x71/0xb0 btrfs_mount+0x10d/0x380 ? vfs_parse_fs_string+0x4d/0x90 legacy_get_tree+0x24/0x40 vfs_get_tree+0x22/0xb0 path_mount+0x433/0xa10 __x64_sys_mount+0xe3/0x120 do_syscall_64+0x3d/0x80 entry_SYSCALL_64_after_hwframe+0x44/0xae We can get -EIO or any number of legitimate errors from btrfs_search_slot(), panicing here is not the appropriate response. The error path for this code handles errors properly, simply return the error. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: mld: fix panic in mld_newpack() mld_newpack() doesn't allow to allocate high order page, only order-0 allocation is allowed. If headroom size is too large, a kernel panic could occur in skb_put(). Test commands: ip netns del A ip netns del B ip netns add A ip netns add B ip link add veth0 type veth peer name veth1 ip link set veth0 netns A ip link set veth1 netns B ip netns exec A ip link set lo up ip netns exec A ip link set veth0 up ip netns exec A ip -6 a a 2001:db8:0::1/64 dev veth0 ip netns exec B ip link set lo up ip netns exec B ip link set veth1 up ip netns exec B ip -6 a a 2001:db8:0::2/64 dev veth1 for i in {1..99} do let A=$i-1 ip netns exec A ip link add ip6gre$i type ip6gre \ local 2001:db8:$A::1 remote 2001:db8:$A::2 encaplimit 100 ip netns exec A ip -6 a a 2001:db8:$i::1/64 dev ip6gre$i ip netns exec A ip link set ip6gre$i up ip netns exec B ip link add ip6gre$i type ip6gre \ local 2001:db8:$A::2 remote 2001:db8:$A::1 encaplimit 100 ip netns exec B ip -6 a a 2001:db8:$i::2/64 dev ip6gre$i ip netns exec B ip link set ip6gre$i up done Splat looks like: kernel BUG at net/core/skbuff.c:110! invalid opcode: 0000 [#1] SMP DEBUG_PAGEALLOC KASAN PTI CPU: 0 PID: 7 Comm: kworker/0:1 Not tainted 5.12.0+ #891 Workqueue: ipv6_addrconf addrconf_dad_work RIP: 0010:skb_panic+0x15d/0x15f Code: 92 fe 4c 8b 4c 24 10 53 8b 4d 70 45 89 e0 48 c7 c7 00 ae 79 83 41 57 41 56 41 55 48 8b 54 24 a6 26 f9 ff <0f> 0b 48 8b 6c 24 20 89 34 24 e8 4a 4e 92 fe 8b 34 24 48 c7 c1 20 RSP: 0018:ffff88810091f820 EFLAGS: 00010282 RAX: 0000000000000089 RBX: ffff8881086e9000 RCX: 0000000000000000 RDX: 0000000000000089 RSI: 0000000000000008 RDI: ffffed1020123efb RBP: ffff888005f6eac0 R08: ffffed1022fc0031 R09: ffffed1022fc0031 R10: ffff888117e00187 R11: ffffed1022fc0030 R12: 0000000000000028 R13: ffff888008284eb0 R14: 0000000000000ed8 R15: 0000000000000ec0 FS: 0000000000000000(0000) GS:ffff888117c00000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 00007f8b801c5640 CR3: 0000000033c2c006 CR4: 00000000003706f0 DR0: 0000000000000000 DR1: 0000000000000000 DR2: 0000000000000000 DR3: 0000000000000000 DR6: 00000000fffe0ff0 DR7: 0000000000000400 Call Trace: ? ip6_mc_hdr.isra.26.constprop.46+0x12a/0x600 ? ip6_mc_hdr.isra.26.constprop.46+0x12a/0x600 skb_put.cold.104+0x22/0x22 ip6_mc_hdr.isra.26.constprop.46+0x12a/0x600 ? rcu_read_lock_sched_held+0x91/0xc0 mld_newpack+0x398/0x8f0 ? ip6_mc_hdr.isra.26.constprop.46+0x600/0x600 ? lock_contended+0xc40/0xc40 add_grhead.isra.33+0x280/0x380 add_grec+0x5ca/0xff0 ? mld_sendpack+0xf40/0xf40 ? lock_downgrade+0x690/0x690 mld_send_initial_cr.part.34+0xb9/0x180 ipv6_mc_dad_complete+0x15d/0x1b0 addrconf_dad_completed+0x8d2/0xbb0 ? lock_downgrade+0x690/0x690 ? addrconf_rs_timer+0x660/0x660 ? addrconf_dad_work+0x73c/0x10e0 addrconf_dad_work+0x73c/0x10e0 Allowing high order page allocation could fix this problem. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: net: fujitsu: fix potential null-ptr-deref In fmvj18x_get_hwinfo(), if ioremap fails there will be NULL pointer deref. To fix this, check the return value of ioremap and return -1 to the caller in case of failure. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: net: fec: fix the potential memory leak in fec_enet_init() If the memory allocated for cbd_base is failed, it should free the memory allocated for the queues, otherwise it causes memory leak. And if the memory allocated for the queues is failed, it can return error directly. [NistCWE(cwe='CWE-401')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: i2c: i801: Don't generate an interrupt on bus reset Now that the i2c-i801 driver supports interrupts, setting the KILL bit in a attempt to recover from a timed out transaction triggers an interrupt. Unfortunately, the interrupt handler (i801_isr) is not prepared for this situation and will try to process the interrupt as if it was signaling the end of a successful transaction. In the case of a block transaction, this can result in an out-of-range memory access. This condition was reproduced several times by syzbot: https://syzkaller.appspot.com/bug?extid=ed71512d469895b5b34e https://syzkaller.appspot.com/bug?extid=8c8dedc0ba9e03f6c79e https://syzkaller.appspot.com/bug?extid=c8ff0b6d6c73d81b610e https://syzkaller.appspot.com/bug?extid=33f6c360821c399d69eb https://syzkaller.appspot.com/bug?extid=be15dc0b1933f04b043a https://syzkaller.appspot.com/bug?extid=b4d3fd1dfd53e90afd79 So disable interrupts while trying to reset the bus. Interrupts will be enabled again for the following transaction. [NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H', score=7.1) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: net: dsa: fix a crash if ->get_sset_count() fails If ds->ops->get_sset_count() fails then it "count" is a negative error code such as -EOPNOTSUPP. Because "i" is an unsigned int, the negative error code is type promoted to a very high value and the loop will corrupt memory until the system crashes. Fix this by checking for error codes and changing the type of "i" to just int. [NistCWE(cwe='CWE-835')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: net: dsa: mt7530: fix VLAN traffic leaks PCR_MATRIX field was set to all 1's when VLAN filtering is enabled, but was not reset when it is disabled, which may cause traffic leaks: ip link add br0 type bridge vlan_filtering 1 ip link add br1 type bridge vlan_filtering 1 ip link set swp0 master br0 ip link set swp1 master br1 ip link set br0 type bridge vlan_filtering 0 ip link set br1 type bridge vlan_filtering 0 # traffic in br0 and br1 will start leaking to each other As port_bridge_{add,del} have set up PCR_MATRIX properly, remove the PCR_MATRIX write from mt7530_port_set_vlan_aware. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H', score=7.1) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: spi: spi-fsl-dspi: Fix a resource leak in an error handling path 'dspi_request_dma()' should be undone by a 'dspi_release_dma()' call in the error handling path of the probe function, as already done in the remove function [NistCWE(cwe='CWE-209')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: tipc: skb_linearize the head skb when reassembling msgs It's not a good idea to append the frag skb to a skb's frag_list if the frag_list already has skbs from elsewhere, such as this skb was created by pskb_copy() where the frag_list was cloned (all the skbs in it were skb_get'ed) and shared by multiple skbs. However, the new appended frag skb should have been only seen by the current skb. Otherwise, it will cause use after free crashes as this appended frag skb are seen by multiple skbs but it only got skb_get called once. The same thing happens with a skb updated by pskb_may_pull() with a skb_cloned skb. Li Shuang has reported quite a few crashes caused by this when doing testing over macvlan devices: [] kernel BUG at net/core/skbuff.c:1970! [] Call Trace: [] skb_clone+0x4d/0xb0 [] macvlan_broadcast+0xd8/0x160 [macvlan] [] macvlan_process_broadcast+0x148/0x150 [macvlan] [] process_one_work+0x1a7/0x360 [] worker_thread+0x30/0x390 [] kernel BUG at mm/usercopy.c:102! [] Call Trace: [] __check_heap_object+0xd3/0x100 [] __check_object_size+0xff/0x16b [] simple_copy_to_iter+0x1c/0x30 [] __skb_datagram_iter+0x7d/0x310 [] __skb_datagram_iter+0x2a5/0x310 [] skb_copy_datagram_iter+0x3b/0x90 [] tipc_recvmsg+0x14a/0x3a0 [tipc] [] ____sys_recvmsg+0x91/0x150 [] ___sys_recvmsg+0x7b/0xc0 [] kernel BUG at mm/slub.c:305! [] Call Trace: [] <IRQ> [] kmem_cache_free+0x3ff/0x400 [] __netif_receive_skb_core+0x12c/0xc40 [] ? kmem_cache_alloc+0x12e/0x270 [] netif_receive_skb_internal+0x3d/0xb0 [] ? get_rx_page_info+0x8e/0xa0 [be2net] [] be_poll+0x6ef/0xd00 [be2net] [] ? irq_exit+0x4f/0x100 [] net_rx_action+0x149/0x3b0 ... This patch is to fix it by linearizing the head skb if it has frag_list set in tipc_buf_append(). Note that we choose to do this before calling skb_unshare(), as __skb_linearize() will avoid skb_copy(). Also, we can not just drop the frag_list either as the early time. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: tipc: wait and exit until all work queues are done On some host, a crash could be triggered simply by repeating these commands several times: # modprobe tipc # tipc bearer enable media udp name UDP1 localip 127.0.0.1 # rmmod tipc [] BUG: unable to handle kernel paging request at ffffffffc096bb00 [] Workqueue: events 0xffffffffc096bb00 [] Call Trace: [] ? process_one_work+0x1a7/0x360 [] ? worker_thread+0x30/0x390 [] ? create_worker+0x1a0/0x1a0 [] ? kthread+0x116/0x130 [] ? kthread_flush_work_fn+0x10/0x10 [] ? ret_from_fork+0x35/0x40 When removing the TIPC module, the UDP tunnel sock will be delayed to release in a work queue as sock_release() can't be done in rtnl_lock(). If the work queue is schedule to run after the TIPC module is removed, kernel will crash as the work queue function cleanup_beareri() code no longer exists when trying to invoke it. To fix it, this patch introduce a member wq_count in tipc_net to track the numbers of work queues in schedule, and wait and exit until all work queues are done in tipc_exit_net(). [NistCWE(cwe='CWE-667')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: drm/meson: fix shutdown crash when component not probed When main component is not probed, by example when the dw-hdmi module is not loaded yet or in probe defer, the following crash appears on shutdown: Unable to handle kernel NULL pointer dereference at virtual address 0000000000000038 ... pc : meson_drv_shutdown+0x24/0x50 lr : platform_drv_shutdown+0x20/0x30 ... Call trace: meson_drv_shutdown+0x24/0x50 platform_drv_shutdown+0x20/0x30 device_shutdown+0x158/0x360 kernel_restart_prepare+0x38/0x48 kernel_restart+0x18/0x68 __do_sys_reboot+0x224/0x250 __arm64_sys_reboot+0x24/0x30 ... Simply check if the priv struct has been allocated before using it. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: NFS: Don't corrupt the value of pg_bytes_written in nfs_do_recoalesce() The value of mirror->pg_bytes_written should only be updated after a successful attempt to flush out the requests on the list. [NistCWE(cwe='CWE-787')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: NFS: Fix an Oopsable condition in __nfs_pageio_add_request() Ensure that nfs_pageio_error_cleanup() resets the mirror array contents, so that the structure reflects the fact that it is now empty. Also change the test in nfs_pageio_do_add_request() to be more robust by checking whether or not the list is empty rather than relying on the value of pg_count. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: NFS: fix an incorrect limit in filelayout_decode_layout() The "sizeof(struct nfs_fh)" is two bytes too large and could lead to memory corruption. It should be NFS_MAXFHSIZE because that's the size of the ->data[] buffer. I reversed the size of the arguments to put the variable on the left. [NistCWE(cwe='CWE-787')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: serial: rp2: use 'request_firmware' instead of 'request_firmware_nowait' In 'rp2_probe', the driver registers 'rp2_uart_interrupt' then calls 'rp2_fw_cb' through 'request_firmware_nowait'. In 'rp2_fw_cb', if the firmware don't exists, function just return without initializing ports of 'rp2_card'. But now the interrupt handler function has been registered, and when an interrupt comes, 'rp2_uart_interrupt' may access those ports then causing NULL pointer dereference or other bugs. Because the driver does some initialization work in 'rp2_fw_cb', in order to make the driver ready to handle interrupts, 'request_firmware' should be used instead of asynchronous 'request_firmware_nowait'. This report reveals it: INFO: trying to register non-static key. the code is fine but needs lockdep annotation. turning off the locking correctness validator. CPU: 2 PID: 0 Comm: swapper/2 Not tainted 4.19.177-gdba4159c14ef-dirty #45 Hardware name: QEMU Standard PC (Q35 + ICH9, 2009), BIOS rel-1.12.0-59- gc9ba5276e321-prebuilt.qemu.org 04/01/2014 Call Trace: <IRQ> __dump_stack lib/dump_stack.c:77 [inline] dump_stack+0xec/0x156 lib/dump_stack.c:118 assign_lock_key kernel/locking/lockdep.c:727 [inline] register_lock_class+0x14e5/0x1ba0 kernel/locking/lockdep.c:753 __lock_acquire+0x187/0x3750 kernel/locking/lockdep.c:3303 lock_acquire+0x124/0x340 kernel/locking/lockdep.c:3907 __raw_spin_lock include/linux/spinlock_api_smp.h:142 [inline] _raw_spin_lock+0x32/0x50 kernel/locking/spinlock.c:144 spin_lock include/linux/spinlock.h:329 [inline] rp2_ch_interrupt drivers/tty/serial/rp2.c:466 [inline] rp2_asic_interrupt.isra.9+0x15d/0x990 drivers/tty/serial/rp2.c:493 rp2_uart_interrupt+0x49/0xe0 drivers/tty/serial/rp2.c:504 __handle_irq_event_percpu+0xfb/0x770 kernel/irq/handle.c:149 handle_irq_event_percpu+0x79/0x150 kernel/irq/handle.c:189 handle_irq_event+0xac/0x140 kernel/irq/handle.c:206 handle_fasteoi_irq+0x232/0x5c0 kernel/irq/chip.c:725 generic_handle_irq_desc include/linux/irqdesc.h:155 [inline] handle_irq+0x230/0x3a0 arch/x86/kernel/irq_64.c:87 do_IRQ+0xa7/0x1e0 arch/x86/kernel/irq.c:247 common_interrupt+0xf/0xf arch/x86/entry/entry_64.S:670 </IRQ> RIP: 0010:native_safe_halt+0x28/0x30 arch/x86/include/asm/irqflags.h:61 Code: 00 00 55 be 04 00 00 00 48 c7 c7 00 c2 2f 8c 48 89 e5 e8 fb 31 e7 f8 8b 05 75 af 8d 03 85 c0 7e 07 0f 00 2d 8a 61 65 00 fb f4 <5d> c3 90 90 90 90 90 90 0f 1f 44 00 00 55 48 89 e5 41 57 41 56 41 RSP: 0018:ffff88806b71fcc8 EFLAGS: 00000246 ORIG_RAX: ffffffffffffffde RAX: 0000000000000000 RBX: ffffffff8bde7e48 RCX: ffffffff88a21285 RDX: 0000000000000000 RSI: 0000000000000004 RDI: ffffffff8c2fc200 RBP: ffff88806b71fcc8 R08: fffffbfff185f840 R09: fffffbfff185f840 R10: 0000000000000001 R11: fffffbfff185f840 R12: 0000000000000002 R13: ffffffff8bea18a0 R14: 0000000000000000 R15: 0000000000000000 arch_safe_halt arch/x86/include/asm/paravirt.h:94 [inline] default_idle+0x6f/0x360 arch/x86/kernel/process.c:557 arch_cpu_idle+0xf/0x20 arch/x86/kernel/process.c:548 default_idle_call+0x3b/0x60 kernel/sched/idle.c:93 cpuidle_idle_call kernel/sched/idle.c:153 [inline] do_idle+0x2ab/0x3c0 kernel/sched/idle.c:263 cpu_startup_entry+0xcb/0xe0 kernel/sched/idle.c:369 start_secondary+0x3b8/0x4e0 arch/x86/kernel/smpboot.c:271 secondary_startup_64+0xa4/0xb0 arch/x86/kernel/head_64.S:243 BUG: unable to handle kernel NULL pointer dereference at 0000000000000010 PGD 8000000056d27067 P4D 8000000056d27067 PUD 56d28067 PMD 0 Oops: 0000 [#1] PREEMPT SMP KASAN PTI CPU: 2 PID: 0 Comm: swapper/2 Not tainted 4.19.177-gdba4159c14ef-dirty #45 Hardware name: QEMU Standard PC (Q35 + ICH9, 2009), BIOS rel-1.12.0-59- gc9ba5276e321-prebuilt.qemu.org 04/01/2014 RIP: 0010:readl arch/x86/include/asm/io.h:59 [inline] RIP: 0010:rp2_ch_interrupt drivers/tty/serial/rp2.c:472 [inline] RIP: 0010:rp2_asic_interrupt.isra.9+0x181/0x990 drivers/tty/serial/rp2.c: 493 Co ---truncated--- [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: USB: usbfs: Don't WARN about excessively large memory allocations Syzbot found that the kernel generates a WARNing if the user tries to submit a bulk transfer through usbfs with a buffer that is way too large. This isn't a bug in the kernel; it's merely an invalid request from the user and the usbfs code does handle it correctly. In theory the same thing can happen with async transfers, or with the packet descriptor table for isochronous transfers. To prevent the MM subsystem from complaining about these bad allocation requests, add the __GFP_NOWARN flag to the kmalloc calls for these buffers. [NistCWE(cwe='CWE-770')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: net: usb: fix memory leak in smsc75xx_bind Syzbot reported memory leak in smsc75xx_bind(). The problem was is non-freed memory in case of errors after memory allocation. backtrace: [<ffffffff84245b62>] kmalloc include/linux/slab.h:556 [inline] [<ffffffff84245b62>] kzalloc include/linux/slab.h:686 [inline] [<ffffffff84245b62>] smsc75xx_bind+0x7a/0x334 drivers/net/usb/smsc75xx.c:1460 [<ffffffff82b5b2e6>] usbnet_probe+0x3b6/0xc30 drivers/net/usb/usbnet.c:1728 [NistCWE(cwe='CWE-401')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: iio: adc: ad7124: Fix potential overflow due to non sequential channel numbers Channel numbering must start at 0 and then not have any holes, or it is possible to overflow the available storage. Note this bug was introduced as part of a fix to ensure we didn't rely on the ordering of child nodes. So we need to support arbitrary ordering but they all need to be there somewhere. Note I hit this when using qemu to test the rest of this series. Arguably this isn't the best fix, but it is probably the most minimal option for backporting etc. Alexandru's sign-off is here because he carried this patch in a larger set that Jonathan then applied. [NistCWE(cwe='CWE-120')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: misc/uss720: fix memory leak in uss720_probe uss720_probe forgets to decrease the refcount of usbdev in uss720_probe. Fix this by decreasing the refcount of usbdev by usb_put_dev. BUG: memory leak unreferenced object 0xffff888101113800 (size 2048): comm "kworker/0:1", pid 7, jiffies 4294956777 (age 28.870s) hex dump (first 32 bytes): ff ff ff ff 31 00 00 00 00 00 00 00 00 00 00 00 ....1........... 00 00 00 00 00 00 00 00 00 00 00 00 03 00 00 00 ................ backtrace: [<ffffffff82b8e822>] kmalloc include/linux/slab.h:554 [inline] [<ffffffff82b8e822>] kzalloc include/linux/slab.h:684 [inline] [<ffffffff82b8e822>] usb_alloc_dev+0x32/0x450 drivers/usb/core/usb.c:582 [<ffffffff82b98441>] hub_port_connect drivers/usb/core/hub.c:5129 [inline] [<ffffffff82b98441>] hub_port_connect_change drivers/usb/core/hub.c:5363 [inline] [<ffffffff82b98441>] port_event drivers/usb/core/hub.c:5509 [inline] [<ffffffff82b98441>] hub_event+0x1171/0x20c0 drivers/usb/core/hub.c:5591 [<ffffffff81259229>] process_one_work+0x2c9/0x600 kernel/workqueue.c:2275 [<ffffffff81259b19>] worker_thread+0x59/0x5d0 kernel/workqueue.c:2421 [<ffffffff81261228>] kthread+0x178/0x1b0 kernel/kthread.c:292 [<ffffffff8100227f>] ret_from_fork+0x1f/0x30 arch/x86/entry/entry_64.S:294 [NistCWE(cwe='CWE-401')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: iommu/vt-d: Fix sysfs leak in alloc_iommu() iommu_device_sysfs_add() is called before, so is has to be cleaned on subsequent errors. [NistCWE(cwe='CWE-401')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: NFSv4: Fix a NULL pointer dereference in pnfs_mark_matching_lsegs_return() Commit de144ff4234f changes _pnfs_return_layout() to call pnfs_mark_matching_lsegs_return() passing NULL as the struct pnfs_layout_range argument. Unfortunately, pnfs_mark_matching_lsegs_return() doesn't check if we have a value here before dereferencing it, causing an oops. I'm able to hit this crash consistently when running connectathon basic tests on NFS v4.1/v4.2 against Ontap. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: NFC: nci: fix memory leak in nci_allocate_device nfcmrvl_disconnect fails to free the hci_dev field in struct nci_dev. Fix this by freeing hci_dev in nci_free_device. BUG: memory leak unreferenced object 0xffff888111ea6800 (size 1024): comm "kworker/1:0", pid 19, jiffies 4294942308 (age 13.580s) hex dump (first 32 bytes): 00 00 00 00 00 00 00 00 00 60 fd 0c 81 88 ff ff .........`...... 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ backtrace: [<000000004bc25d43>] kmalloc include/linux/slab.h:552 [inline] [<000000004bc25d43>] kzalloc include/linux/slab.h:682 [inline] [<000000004bc25d43>] nci_hci_allocate+0x21/0xd0 net/nfc/nci/hci.c:784 [<00000000c59cff92>] nci_allocate_device net/nfc/nci/core.c:1170 [inline] [<00000000c59cff92>] nci_allocate_device+0x10b/0x160 net/nfc/nci/core.c:1132 [<00000000006e0a8e>] nfcmrvl_nci_register_dev+0x10a/0x1c0 drivers/nfc/nfcmrvl/main.c:153 [<000000004da1b57e>] nfcmrvl_probe+0x223/0x290 drivers/nfc/nfcmrvl/usb.c:345 [<00000000d506aed9>] usb_probe_interface+0x177/0x370 drivers/usb/core/driver.c:396 [<00000000bc632c92>] really_probe+0x159/0x4a0 drivers/base/dd.c:554 [<00000000f5009125>] driver_probe_device+0x84/0x100 drivers/base/dd.c:740 [<000000000ce658ca>] __device_attach_driver+0xee/0x110 drivers/base/dd.c:846 [<000000007067d05f>] bus_for_each_drv+0xb7/0x100 drivers/base/bus.c:431 [<00000000f8e13372>] __device_attach+0x122/0x250 drivers/base/dd.c:914 [<000000009cf68860>] bus_probe_device+0xc6/0xe0 drivers/base/bus.c:491 [<00000000359c965a>] device_add+0x5be/0xc30 drivers/base/core.c:3109 [<00000000086e4bd3>] usb_set_configuration+0x9d9/0xb90 drivers/usb/core/message.c:2164 [<00000000ca036872>] usb_generic_driver_probe+0x8c/0xc0 drivers/usb/core/generic.c:238 [<00000000d40d36f6>] usb_probe_device+0x5c/0x140 drivers/usb/core/driver.c:293 [<00000000bc632c92>] really_probe+0x159/0x4a0 drivers/base/dd.c:554 [NistCWE(cwe='CWE-401')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux, linux-5.10 In the Linux kernel, the following vulnerability has been resolved: net: bridge: fix vlan tunnel dst refcnt when egressing The egress tunnel code uses dst_clone() and directly sets the result which is wrong because the entry might have 0 refcnt or be already deleted, causing number of problems. It also triggers the WARN_ON() in dst_hold()[1] when a refcnt couldn't be taken. Fix it by using dst_hold_safe() and checking if a reference was actually taken before setting the dst. [1] dmesg WARN_ON log and following refcnt errors WARNING: CPU: 5 PID: 38 at include/net/dst.h:230 br_handle_egress_vlan_tunnel+0x10b/0x134 [bridge] Modules linked in: 8021q garp mrp bridge stp llc bonding ipv6 virtio_net CPU: 5 PID: 38 Comm: ksoftirqd/5 Kdump: loaded Tainted: G W 5.13.0-rc3+ #360 Hardware name: QEMU Standard PC (i440FX + PIIX, 1996), BIOS 1.14.0-1.fc33 04/01/2014 RIP: 0010:br_handle_egress_vlan_tunnel+0x10b/0x134 [bridge] Code: e8 85 bc 01 e1 45 84 f6 74 90 45 31 f6 85 db 48 c7 c7 a0 02 19 a0 41 0f 94 c6 31 c9 31 d2 44 89 f6 e8 64 bc 01 e1 85 db 75 02 <0f> 0b 31 c9 31 d2 44 89 f6 48 c7 c7 70 02 19 a0 e8 4b bc 01 e1 49 RSP: 0018:ffff8881003d39e8 EFLAGS: 00010246 RAX: 0000000000000000 RBX: 0000000000000000 RCX: 0000000000000000 RDX: 0000000000000000 RSI: 0000000000000001 RDI: ffffffffa01902a0 RBP: ffff8881040c6700 R08: 0000000000000000 R09: 0000000000000001 R10: 2ce93d0054fe0d00 R11: 54fe0d00000e0000 R12: ffff888109515000 R13: 0000000000000000 R14: 0000000000000001 R15: 0000000000000401 FS: 0000000000000000(0000) GS:ffff88822bf40000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 00007f42ba70f030 CR3: 0000000109926000 CR4: 00000000000006e0 Call Trace: br_handle_vlan+0xbc/0xca [bridge] __br_forward+0x23/0x164 [bridge] deliver_clone+0x41/0x48 [bridge] br_handle_frame_finish+0x36f/0x3aa [bridge] ? skb_dst+0x2e/0x38 [bridge] ? br_handle_ingress_vlan_tunnel+0x3e/0x1c8 [bridge] ? br_handle_frame_finish+0x3aa/0x3aa [bridge] br_handle_frame+0x2c3/0x377 [bridge] ? __skb_pull+0x33/0x51 ? vlan_do_receive+0x4f/0x36a ? br_handle_frame_finish+0x3aa/0x3aa [bridge] __netif_receive_skb_core+0x539/0x7c6 ? __list_del_entry_valid+0x16e/0x1c2 __netif_receive_skb_list_core+0x6d/0xd6 netif_receive_skb_list_internal+0x1d9/0x1fa gro_normal_list+0x22/0x3e dev_gro_receive+0x55b/0x600 ? detach_buf_split+0x58/0x140 napi_gro_receive+0x94/0x12e virtnet_poll+0x15d/0x315 [virtio_net] __napi_poll+0x2c/0x1c9 net_rx_action+0xe6/0x1fb __do_softirq+0x115/0x2d8 run_ksoftirqd+0x18/0x20 smpboot_thread_fn+0x183/0x19c ? smpboot_unregister_percpu_thread+0x66/0x66 kthread+0x10a/0x10f ? kthread_mod_delayed_work+0xb6/0xb6 ret_from_fork+0x22/0x30 ---[ end trace 49f61b07f775fd2b ]--- dst_release: dst:00000000c02d677a refcnt:-1 dst_release underflow [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) Astra Linux 1.7 linux, linux-5.10 In the Linux kernel, the following vulnerability has been resolved: net: bridge: fix vlan tunnel dst null pointer dereference This patch fixes a tunnel_dst null pointer dereference due to lockless access in the tunnel egress path. When deleting a vlan tunnel the tunnel_dst pointer is set to NULL without waiting a grace period (i.e. while it's still usable) and packets egressing are dereferencing it without checking. Use READ/WRITE_ONCE to annotate the lockless use of tunnel_id, use RCU for accessing tunnel_dst and make sure it is read only once and checked in the egress path. The dst is already properly RCU protected so we don't need to do anything fancy than to make sure tunnel_id and tunnel_dst are read only once and checked in the egress path. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) Astra Linux 1.7 linux, linux-5.10 In the Linux kernel, the following vulnerability has been resolved: net: ll_temac: Make sure to free skb when it is completely used With the skb pointer piggy-backed on the TX BD, we have a simple and efficient way to free the skb buffer when the frame has been transmitted. But in order to avoid freeing the skb while there are still fragments from the skb in use, we need to piggy-back on the TX BD of the skb, not the first. Without this, we are doing use-after-free on the DMA side, when the first BD of a multi TX BD packet is seen as completed in xmit_done, and the remaining BDs are still being processed. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H', score=6.2) Astra Linux 1.7 linux, linux-5.10 In the Linux kernel, the following vulnerability has been resolved: PCI: aardvark: Fix kernel panic during PIO transfer Trying to start a new PIO transfer by writing value 0 in PIO_START register when previous transfer has not yet completed (which is indicated by value 1 in PIO_START) causes an External Abort on CPU, which results in kernel panic: SError Interrupt on CPU0, code 0xbf000002 -- SError Kernel panic - not syncing: Asynchronous SError Interrupt To prevent kernel panic, it is required to reject a new PIO transfer when previous one has not finished yet. If previous PIO transfer is not finished yet, the kernel may issue a new PIO request only if the previous PIO transfer timed out. In the past the root cause of this issue was incorrectly identified (as it often happens during link retraining or after link down event) and special hack was implemented in Trusted Firmware to catch all SError events in EL3, to ignore errors with code 0xbf000002 and not forwarding any other errors to kernel and instead throw panic from EL3 Trusted Firmware handler. Links to discussion and patches about this issue: https://git.trustedfirmware.org/TF-A/trusted-firmware-a.git/commit/?id=3c7dcdac5c50 https://lore.kernel.org/linux-pci/20190316161243.29517-1-repk@triplefau.lt/ https://lore.kernel.org/linux-pci/971be151d24312cc533989a64bd454b4@www.loen.fr/ https://review.trustedfirmware.org/c/TF-A/trusted-firmware-a/+/1541 But the real cause was the fact that during link retraining or after link down event the PIO transfer may take longer time, up to the 1.44s until it times out. This increased probability that a new PIO transfer would be issued by kernel while previous one has not finished yet. After applying this change into the kernel, it is possible to revert the mentioned TF-A hack and SError events do not have to be caught in TF-A EL3. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) Astra Linux 1.7 linux, linux-5.10 In the Linux kernel, the following vulnerability has been resolved: KVM: x86: Immediately reset the MMU context when the SMM flag is cleared Immediately reset the MMU context when the vCPU's SMM flag is cleared so that the SMM flag in the MMU role is always synchronized with the vCPU's flag. If RSM fails (which isn't correctly emulated), KVM will bail without calling post_leave_smm() and leave the MMU in a bad state. The bad MMU role can lead to a NULL pointer dereference when grabbing a shadow page's rmap for a page fault as the initial lookups for the gfn will happen with the vCPU's SMM flag (=0), whereas the rmap lookup will use the shadow page's SMM flag, which comes from the MMU (=1). SMM has an entirely different set of memslots, and so the initial lookup can find a memslot (SMM=0) and then explode on the rmap memslot lookup (SMM=1). general protection fault, probably for non-canonical address 0xdffffc0000000000: 0000 [#1] PREEMPT SMP KASAN KASAN: null-ptr-deref in range [0x0000000000000000-0x0000000000000007] CPU: 1 PID: 8410 Comm: syz-executor382 Not tainted 5.13.0-rc5-syzkaller #0 Hardware name: Google Google Compute Engine/Google Compute Engine, BIOS Google 01/01/2011 RIP: 0010:__gfn_to_rmap arch/x86/kvm/mmu/mmu.c:935 [inline] RIP: 0010:gfn_to_rmap+0x2b0/0x4d0 arch/x86/kvm/mmu/mmu.c:947 Code: <42> 80 3c 20 00 74 08 4c 89 ff e8 f1 79 a9 00 4c 89 fb 4d 8b 37 44 RSP: 0018:ffffc90000ffef98 EFLAGS: 00010246 RAX: 0000000000000000 RBX: ffff888015b9f414 RCX: ffff888019669c40 RDX: 0000000000000000 RSI: 0000000000000001 RDI: 0000000000000001 RBP: 0000000000000001 R08: ffffffff811d9cdb R09: ffffed10065a6002 R10: ffffed10065a6002 R11: 0000000000000000 R12: dffffc0000000000 R13: 0000000000000003 R14: 0000000000000001 R15: 0000000000000000 FS: 000000000124b300(0000) GS:ffff8880b9b00000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 0000000000000000 CR3: 0000000028e31000 CR4: 00000000001526e0 DR0: 0000000000000000 DR1: 0000000000000000 DR2: 0000000000000000 DR3: 0000000000000000 DR6: 00000000fffe0ff0 DR7: 0000000000000400 Call Trace: rmap_add arch/x86/kvm/mmu/mmu.c:965 [inline] mmu_set_spte+0x862/0xe60 arch/x86/kvm/mmu/mmu.c:2604 __direct_map arch/x86/kvm/mmu/mmu.c:2862 [inline] direct_page_fault+0x1f74/0x2b70 arch/x86/kvm/mmu/mmu.c:3769 kvm_mmu_do_page_fault arch/x86/kvm/mmu.h:124 [inline] kvm_mmu_page_fault+0x199/0x1440 arch/x86/kvm/mmu/mmu.c:5065 vmx_handle_exit+0x26/0x160 arch/x86/kvm/vmx/vmx.c:6122 vcpu_enter_guest+0x3bdd/0x9630 arch/x86/kvm/x86.c:9428 vcpu_run+0x416/0xc20 arch/x86/kvm/x86.c:9494 kvm_arch_vcpu_ioctl_run+0x4e8/0xa40 arch/x86/kvm/x86.c:9722 kvm_vcpu_ioctl+0x70f/0xbb0 arch/x86/kvm/../../../virt/kvm/kvm_main.c:3460 vfs_ioctl fs/ioctl.c:51 [inline] __do_sys_ioctl fs/ioctl.c:1069 [inline] __se_sys_ioctl+0xfb/0x170 fs/ioctl.c:1055 do_syscall_64+0x3f/0xb0 arch/x86/entry/common.c:47 entry_SYSCALL_64_after_hwframe+0x44/0xae RIP: 0033:0x440ce9 [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:R/S:U/C:N/I:H/A:H', score=6.6) Astra Linux 1.7 linux, linux-5.10 In the Linux kernel, the following vulnerability has been resolved: can: mcba_usb: fix memory leak in mcba_usb Syzbot reported memory leak in SocketCAN driver for Microchip CAN BUS Analyzer Tool. The problem was in unfreed usb_coherent. In mcba_usb_start() 20 coherent buffers are allocated and there is nothing, that frees them: 1) In callback function the urb is resubmitted and that's all 2) In disconnect function urbs are simply killed, but URB_FREE_BUFFER is not set (see mcba_usb_start) and this flag cannot be used with coherent buffers. Fail log: | [ 1354.053291][ T8413] mcba_usb 1-1:0.0 can0: device disconnected | [ 1367.059384][ T8420] kmemleak: 20 new suspected memory leaks (see /sys/kernel/debug/kmem) So, all allocated buffers should be freed with usb_free_coherent() explicitly NOTE: The same pattern for allocating and freeing coherent buffers is used in drivers/net/can/usb/kvaser_usb/kvaser_usb_core.c [NistCWE(cwe='CWE-401')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: can: j1939: fix Use-after-Free, hold skb ref while in use This patch fixes a Use-after-Free found by the syzbot. The problem is that a skb is taken from the per-session skb queue, without incrementing the ref count. This leads to a Use-after-Free if the skb is taken concurrently from the session queue due to a CTS. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H', score=8.4) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: net: ethernet: fix potential use-after-free in ec_bhf_remove static void ec_bhf_remove(struct pci_dev *dev) { ... struct ec_bhf_priv *priv = netdev_priv(net_dev); unregister_netdev(net_dev); free_netdev(net_dev); pci_iounmap(dev, priv->dma_io); pci_iounmap(dev, priv->io); ... } priv is netdev private data, but it is used after free_netdev(). It can cause use-after-free when accessing priv pointer. So, fix it by moving free_netdev() after pci_iounmap() calls. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux, linux-5.10 In the Linux kernel, the following vulnerability has been resolved: net: cdc_eem: fix tx fixup skb leak when usbnet transmit a skb, eem fixup it in eem_tx_fixup(), if skb_copy_expand() failed, it return NULL, usbnet_start_xmit() will have no chance to free original skb. fix it by free orginal skb in eem_tx_fixup() first, then check skb clone status, if failed, return NULL to usbnet. [NistCWE(cwe='CWE-401')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) Astra Linux 1.7 linux, linux-5.10 In the Linux kernel, the following vulnerability has been resolved: net: hamradio: fix memory leak in mkiss_close My local syzbot instance hit memory leak in mkiss_open()[1]. The problem was in missing free_netdev() in mkiss_close(). In mkiss_open() netdevice is allocated and then registered, but in mkiss_close() netdevice was only unregistered, but not freed. Fail log: BUG: memory leak unreferenced object 0xffff8880281ba000 (size 4096): comm "syz-executor.1", pid 11443, jiffies 4295046091 (age 17.660s) hex dump (first 32 bytes): 61 78 30 00 00 00 00 00 00 00 00 00 00 00 00 00 ax0............. 00 27 fa 2a 80 88 ff ff 00 00 00 00 00 00 00 00 .'.*............ backtrace: [<ffffffff81a27201>] kvmalloc_node+0x61/0xf0 [<ffffffff8706e7e8>] alloc_netdev_mqs+0x98/0xe80 [<ffffffff84e64192>] mkiss_open+0xb2/0x6f0 [1] [<ffffffff842355db>] tty_ldisc_open+0x9b/0x110 [<ffffffff84236488>] tty_set_ldisc+0x2e8/0x670 [<ffffffff8421f7f3>] tty_ioctl+0xda3/0x1440 [<ffffffff81c9f273>] __x64_sys_ioctl+0x193/0x200 [<ffffffff8911263a>] do_syscall_64+0x3a/0xb0 [<ffffffff89200068>] entry_SYSCALL_64_after_hwframe+0x44/0xae BUG: memory leak unreferenced object 0xffff8880141a9a00 (size 96): comm "syz-executor.1", pid 11443, jiffies 4295046091 (age 17.660s) hex dump (first 32 bytes): e8 a2 1b 28 80 88 ff ff e8 a2 1b 28 80 88 ff ff ...(.......(.... 98 92 9c aa b0 40 02 00 00 00 00 00 00 00 00 00 .....@.......... backtrace: [<ffffffff8709f68b>] __hw_addr_create_ex+0x5b/0x310 [<ffffffff8709fb38>] __hw_addr_add_ex+0x1f8/0x2b0 [<ffffffff870a0c7b>] dev_addr_init+0x10b/0x1f0 [<ffffffff8706e88b>] alloc_netdev_mqs+0x13b/0xe80 [<ffffffff84e64192>] mkiss_open+0xb2/0x6f0 [1] [<ffffffff842355db>] tty_ldisc_open+0x9b/0x110 [<ffffffff84236488>] tty_set_ldisc+0x2e8/0x670 [<ffffffff8421f7f3>] tty_ioctl+0xda3/0x1440 [<ffffffff81c9f273>] __x64_sys_ioctl+0x193/0x200 [<ffffffff8911263a>] do_syscall_64+0x3a/0xb0 [<ffffffff89200068>] entry_SYSCALL_64_after_hwframe+0x44/0xae BUG: memory leak unreferenced object 0xffff8880219bfc00 (size 512): comm "syz-executor.1", pid 11443, jiffies 4295046091 (age 17.660s) hex dump (first 32 bytes): 00 a0 1b 28 80 88 ff ff 80 8f b1 8d ff ff ff ff ...(............ 80 8f b1 8d ff ff ff ff 00 00 00 00 00 00 00 00 ................ backtrace: [<ffffffff81a27201>] kvmalloc_node+0x61/0xf0 [<ffffffff8706eec7>] alloc_netdev_mqs+0x777/0xe80 [<ffffffff84e64192>] mkiss_open+0xb2/0x6f0 [1] [<ffffffff842355db>] tty_ldisc_open+0x9b/0x110 [<ffffffff84236488>] tty_set_ldisc+0x2e8/0x670 [<ffffffff8421f7f3>] tty_ioctl+0xda3/0x1440 [<ffffffff81c9f273>] __x64_sys_ioctl+0x193/0x200 [<ffffffff8911263a>] do_syscall_64+0x3a/0xb0 [<ffffffff89200068>] entry_SYSCALL_64_after_hwframe+0x44/0xae BUG: memory leak unreferenced object 0xffff888029b2b200 (size 256): comm "syz-executor.1", pid 11443, jiffies 4295046091 (age 17.660s) hex dump (first 32 bytes): 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ backtrace: [<ffffffff81a27201>] kvmalloc_node+0x61/0xf0 [<ffffffff8706f062>] alloc_netdev_mqs+0x912/0xe80 [<ffffffff84e64192>] mkiss_open+0xb2/0x6f0 [1] [<ffffffff842355db>] tty_ldisc_open+0x9b/0x110 [<ffffffff84236488>] tty_set_ldisc+0x2e8/0x670 [<ffffffff8421f7f3>] tty_ioctl+0xda3/0x1440 [<ffffffff81c9f273>] __x64_sys_ioctl+0x193/0x200 [<ffffffff8911263a>] do_syscall_64+0x3a/0xb0 [<ffffffff89200068>] entry_SYSCALL_64_after_hwframe+0x44/0xae [NistCWE(cwe='CWE-401')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) Astra Linux 1.7 linux, linux-5.10 In the Linux kernel, the following vulnerability has been resolved: net: ipv4: fix memory leak in ip_mc_add1_src BUG: memory leak unreferenced object 0xffff888101bc4c00 (size 32): comm "syz-executor527", pid 360, jiffies 4294807421 (age 19.329s) hex dump (first 32 bytes): 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 01 00 00 00 00 00 00 00 ac 14 14 bb 00 00 02 00 ................ backtrace: [<00000000f17c5244>] kmalloc include/linux/slab.h:558 [inline] [<00000000f17c5244>] kzalloc include/linux/slab.h:688 [inline] [<00000000f17c5244>] ip_mc_add1_src net/ipv4/igmp.c:1971 [inline] [<00000000f17c5244>] ip_mc_add_src+0x95f/0xdb0 net/ipv4/igmp.c:2095 [<000000001cb99709>] ip_mc_source+0x84c/0xea0 net/ipv4/igmp.c:2416 [<0000000052cf19ed>] do_ip_setsockopt net/ipv4/ip_sockglue.c:1294 [inline] [<0000000052cf19ed>] ip_setsockopt+0x114b/0x30c0 net/ipv4/ip_sockglue.c:1423 [<00000000477edfbc>] raw_setsockopt+0x13d/0x170 net/ipv4/raw.c:857 [<00000000e75ca9bb>] __sys_setsockopt+0x158/0x270 net/socket.c:2117 [<00000000bdb993a8>] __do_sys_setsockopt net/socket.c:2128 [inline] [<00000000bdb993a8>] __se_sys_setsockopt net/socket.c:2125 [inline] [<00000000bdb993a8>] __x64_sys_setsockopt+0xba/0x150 net/socket.c:2125 [<000000006a1ffdbd>] do_syscall_64+0x40/0x80 arch/x86/entry/common.c:47 [<00000000b11467c4>] entry_SYSCALL_64_after_hwframe+0x44/0xae In commit 24803f38a5c0 ("igmp: do not remove igmp souce list info when set link down"), the ip_mc_clear_src() in ip_mc_destroy_dev() was removed, because it was also called in igmpv3_clear_delrec(). Rough callgraph: inetdev_destroy -> ip_mc_destroy_dev -> igmpv3_clear_delrec -> ip_mc_clear_src -> RCU_INIT_POINTER(dev->ip_ptr, NULL) However, ip_mc_clear_src() called in igmpv3_clear_delrec() doesn't release in_dev->mc_list->sources. And RCU_INIT_POINTER() assigns the NULL to dev->ip_ptr. As a result, in_dev cannot be obtained through inetdev_by_index() and then in_dev->mc_list->sources cannot be released by ip_mc_del1_src() in the sock_close. Rough call sequence goes like: sock_close -> __sock_release -> inet_release -> ip_mc_drop_socket -> inetdev_by_index -> ip_mc_leave_src -> ip_mc_del_src -> ip_mc_del1_src So we still need to call ip_mc_clear_src() in ip_mc_destroy_dev() to free in_dev->mc_list->sources. [NistCWE(cwe='CWE-400')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: net: usb: fix possible use-after-free in smsc75xx_bind The commit 46a8b29c6306 ("net: usb: fix memory leak in smsc75xx_bind") fails to clean up the work scheduled in smsc75xx_reset-> smsc75xx_set_multicast, which leads to use-after-free if the work is scheduled to start after the deallocation. In addition, this patch also removes a dangling pointer - dev->data[0]. This patch calls cancel_work_sync to cancel the scheduled work and set the dangling pointer to NULL. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux, linux-5.10 In the Linux kernel, the following vulnerability has been resolved: net: qrtr: fix OOB Read in qrtr_endpoint_post Syzbot reported slab-out-of-bounds Read in qrtr_endpoint_post. The problem was in wrong _size_ type: if (len != ALIGN(size, 4) + hdrlen) goto err; If size from qrtr_hdr is 4294967293 (0xfffffffd), the result of ALIGN(size, 4) will be 0. In case of len == hdrlen and size == 4294967293 in header this check won't fail and skb_put_data(skb, data + hdrlen, size); will read out of bound from data, which is hdrlen allocated block. [NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H', score=7.1) Astra Linux 1.7 linux, linux-5.10 In the Linux kernel, the following vulnerability has been resolved: sch_cake: Fix out of bounds when parsing TCP options and header The TCP option parser in cake qdisc (cake_get_tcpopt and cake_tcph_may_drop) could read one byte out of bounds. When the length is 1, the execution flow gets into the loop, reads one byte of the opcode, and if the opcode is neither TCPOPT_EOL nor TCPOPT_NOP, it reads one more byte, which exceeds the length of 1. This fix is inspired by commit 9609dad263f8 ("ipv4: tcp_input: fix stack out of bounds when parsing TCP options."). v2 changes: Added doff validation in cake_get_tcphdr to avoid parsing garbage as TCP header. Although it wasn't strictly an out-of-bounds access (memory was allocated), garbage values could be read where CAKE expected the TCP header if doff was smaller than 5. [NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H', score=7.1) Astra Linux 1.7 linux, linux-5.10 In the Linux kernel, the following vulnerability has been resolved: netfilter: synproxy: Fix out of bounds when parsing TCP options The TCP option parser in synproxy (synproxy_parse_options) could read one byte out of bounds. When the length is 1, the execution flow gets into the loop, reads one byte of the opcode, and if the opcode is neither TCPOPT_EOL nor TCPOPT_NOP, it reads one more byte, which exceeds the length of 1. This fix is inspired by commit 9609dad263f8 ("ipv4: tcp_input: fix stack out of bounds when parsing TCP options."). v2 changes: Added an early return when length < 0 to avoid calling skb_header_pointer with negative length. [NistCWE(cwe='CWE-125')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H', score=7.1) Astra Linux 1.7 linux, linux-5.10 In the Linux kernel, the following vulnerability has been resolved: net/mlx5e: Fix page reclaim for dead peer hairpin When adding a hairpin flow, a firmware-side send queue is created for the peer net device, which claims some host memory pages for its internal ring buffer. If the peer net device is removed/unbound before the hairpin flow is deleted, then the send queue is not destroyed which leads to a stack trace on pci device remove: [ 748.005230] mlx5_core 0000:08:00.2: wait_func:1094:(pid 12985): MANAGE_PAGES(0x108) timeout. Will cause a leak of a command resource [ 748.005231] mlx5_core 0000:08:00.2: reclaim_pages:514:(pid 12985): failed reclaiming pages: err -110 [ 748.001835] mlx5_core 0000:08:00.2: mlx5_reclaim_root_pages:653:(pid 12985): failed reclaiming pages (-110) for func id 0x0 [ 748.002171] ------------[ cut here ]------------ [ 748.001177] FW pages counter is 4 after reclaiming all pages [ 748.001186] WARNING: CPU: 1 PID: 12985 at drivers/net/ethernet/mellanox/mlx5/core/pagealloc.c:685 mlx5_reclaim_startup_pages+0x34b/0x460 [mlx5_core] [ +0.002771] Modules linked in: cls_flower mlx5_ib mlx5_core ptp pps_core act_mirred sch_ingress openvswitch nsh xt_conntrack xt_MASQUERADE nf_conntrack_netlink nfnetlink xt_addrtype iptable_nat nf_nat nf_conntrack nf_defrag_ipv6 nf_defrag_ipv4 br_netfilter rpcrdma rdma_ucm ib_iser libiscsi scsi_transport_iscsi rdma_cm ib_umad ib_ipoib iw_cm ib_cm ib_uverbs ib_core overlay fuse [last unloaded: pps_core] [ 748.007225] CPU: 1 PID: 12985 Comm: tee Not tainted 5.12.0+ #1 [ 748.001376] Hardware name: QEMU Standard PC (Q35 + ICH9, 2009), BIOS rel-1.13.0-0-gf21b5a4aeb02-prebuilt.qemu.org 04/01/2014 [ 748.002315] RIP: 0010:mlx5_reclaim_startup_pages+0x34b/0x460 [mlx5_core] [ 748.001679] Code: 28 00 00 00 0f 85 22 01 00 00 48 81 c4 b0 00 00 00 31 c0 5b 5d 41 5c 41 5d 41 5e 41 5f c3 48 c7 c7 40 cc 19 a1 e8 9f 71 0e e2 <0f> 0b e9 30 ff ff ff 48 c7 c7 a0 cc 19 a1 e8 8c 71 0e e2 0f 0b e9 [ 748.003781] RSP: 0018:ffff88815220faf8 EFLAGS: 00010286 [ 748.001149] RAX: 0000000000000000 RBX: ffff8881b4900280 RCX: 0000000000000000 [ 748.001445] RDX: 0000000000000027 RSI: 0000000000000004 RDI: ffffed102a441f51 [ 748.001614] RBP: 00000000000032b9 R08: 0000000000000001 R09: ffffed1054a15ee8 [ 748.001446] R10: ffff8882a50af73b R11: ffffed1054a15ee7 R12: fffffbfff07c1e30 [ 748.001447] R13: dffffc0000000000 R14: ffff8881b492cba8 R15: 0000000000000000 [ 748.001429] FS: 00007f58bd08b580(0000) GS:ffff8882a5080000(0000) knlGS:0000000000000000 [ 748.001695] CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 [ 748.001309] CR2: 000055a026351740 CR3: 00000001d3b48006 CR4: 0000000000370ea0 [ 748.001506] DR0: 0000000000000000 DR1: 0000000000000000 DR2: 0000000000000000 [ 748.001483] DR3: 0000000000000000 DR6: 00000000fffe0ff0 DR7: 0000000000000400 [ 748.001654] Call Trace: [ 748.000576] ? mlx5_satisfy_startup_pages+0x290/0x290 [mlx5_core] [ 748.001416] ? mlx5_cmd_teardown_hca+0xa2/0xd0 [mlx5_core] [ 748.001354] ? mlx5_cmd_init_hca+0x280/0x280 [mlx5_core] [ 748.001203] mlx5_function_teardown+0x30/0x60 [mlx5_core] [ 748.001275] mlx5_uninit_one+0xa7/0xc0 [mlx5_core] [ 748.001200] remove_one+0x5f/0xc0 [mlx5_core] [ 748.001075] pci_device_remove+0x9f/0x1d0 [ 748.000833] device_release_driver_internal+0x1e0/0x490 [ 748.001207] unbind_store+0x19f/0x200 [ 748.000942] ? sysfs_file_ops+0x170/0x170 [ 748.001000] kernfs_fop_write_iter+0x2bc/0x450 [ 748.000970] new_sync_write+0x373/0x610 [ 748.001124] ? new_sync_read+0x600/0x600 [ 748.001057] ? lock_acquire+0x4d6/0x700 [ 748.000908] ? lockdep_hardirqs_on_prepare+0x400/0x400 [ 748.001126] ? fd_install+0x1c9/0x4d0 [ 748.000951] vfs_write+0x4d0/0x800 [ 748.000804] ksys_write+0xf9/0x1d0 [ 748.000868] ? __x64_sys_read+0xb0/0xb0 [ 748.000811] ? filp_open+0x50/0x50 [ 748.000919] ? syscall_enter_from_user_mode+0x1d/0x50 [ 748.001223] do_syscall_64+0x3f/0x80 [ 748.000892] entry_SYSCALL_64_after_hwframe+0x44/0xae [ 748.00 ---truncated--- [NistCWE(cwe='CWE-401')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) Astra Linux 1.7 linux, linux-5.10 In the Linux kernel, the following vulnerability has been resolved: udp: fix race between close() and udp_abort() Kaustubh reported and diagnosed a panic in udp_lib_lookup(). The root cause is udp_abort() racing with close(). Both racing functions acquire the socket lock, but udp{v6}_destroy_sock() release it before performing destructive actions. We can't easily extend the socket lock scope to avoid the race, instead use the SOCK_DEAD flag to prevent udp_abort from doing any action when the critical race happens. Diagnosed-and-tested-by: Kaustubh Pandey <kapandey@codeaurora.org> [NistCWE(cwe='CWE-362')] None NistCVSS3(cvss='AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H', score=4.7) Astra Linux 1.7 linux, linux-5.10 In the Linux kernel, the following vulnerability has been resolved: net: rds: fix memory leak in rds_recvmsg Syzbot reported memory leak in rds. The problem was in unputted refcount in case of error. int rds_recvmsg(struct socket *sock, struct msghdr *msg, size_t size, int msg_flags) { ... if (!rds_next_incoming(rs, &inc)) { ... } After this "if" inc refcount incremented and if (rds_cmsg_recv(inc, msg, rs)) { ret = -EFAULT; goto out; } ... out: return ret; } in case of rds_cmsg_recv() fail the refcount won't be decremented. And it's easy to see from ftrace log, that rds_inc_addref() don't have rds_inc_put() pair in rds_recvmsg() after rds_cmsg_recv() 1) | rds_recvmsg() { 1) 3.721 us | rds_inc_addref(); 1) 3.853 us | rds_message_inc_copy_to_user(); 1) + 10.395 us | rds_cmsg_recv(); 1) + 34.260 us | } [NistCWE(cwe='CWE-401')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) Astra Linux 1.7 linux, linux-5.10 In the Linux kernel, the following vulnerability has been resolved: net: ipv4: fix memory leak in netlbl_cipsov4_add_std Reported by syzkaller: BUG: memory leak unreferenced object 0xffff888105df7000 (size 64): comm "syz-executor842", pid 360, jiffies 4294824824 (age 22.546s) hex dump (first 32 bytes): 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ backtrace: [<00000000e67ed558>] kmalloc include/linux/slab.h:590 [inline] [<00000000e67ed558>] kzalloc include/linux/slab.h:720 [inline] [<00000000e67ed558>] netlbl_cipsov4_add_std net/netlabel/netlabel_cipso_v4.c:145 [inline] [<00000000e67ed558>] netlbl_cipsov4_add+0x390/0x2340 net/netlabel/netlabel_cipso_v4.c:416 [<0000000006040154>] genl_family_rcv_msg_doit.isra.0+0x20e/0x320 net/netlink/genetlink.c:739 [<00000000204d7a1c>] genl_family_rcv_msg net/netlink/genetlink.c:783 [inline] [<00000000204d7a1c>] genl_rcv_msg+0x2bf/0x4f0 net/netlink/genetlink.c:800 [<00000000c0d6a995>] netlink_rcv_skb+0x134/0x3d0 net/netlink/af_netlink.c:2504 [<00000000d78b9d2c>] genl_rcv+0x24/0x40 net/netlink/genetlink.c:811 [<000000009733081b>] netlink_unicast_kernel net/netlink/af_netlink.c:1314 [inline] [<000000009733081b>] netlink_unicast+0x4a0/0x6a0 net/netlink/af_netlink.c:1340 [<00000000d5fd43b8>] netlink_sendmsg+0x789/0xc70 net/netlink/af_netlink.c:1929 [<000000000a2d1e40>] sock_sendmsg_nosec net/socket.c:654 [inline] [<000000000a2d1e40>] sock_sendmsg+0x139/0x170 net/socket.c:674 [<00000000321d1969>] ____sys_sendmsg+0x658/0x7d0 net/socket.c:2350 [<00000000964e16bc>] ___sys_sendmsg+0xf8/0x170 net/socket.c:2404 [<000000001615e288>] __sys_sendmsg+0xd3/0x190 net/socket.c:2433 [<000000004ee8b6a5>] do_syscall_64+0x37/0x90 arch/x86/entry/common.c:47 [<00000000171c7cee>] entry_SYSCALL_64_after_hwframe+0x44/0xae The memory of doi_def->map.std pointing is allocated in netlbl_cipsov4_add_std, but no place has freed it. It should be freed in cipso_v4_doi_free which frees the cipso DOI resource. [NistCWE(cwe='CWE-401')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) Astra Linux 1.7 linux, linux-5.10 In the Linux kernel, the following vulnerability has been resolved: batman-adv: Avoid WARN_ON timing related checks The soft/batadv interface for a queued OGM can be changed during the time the OGM was queued for transmission and when the OGM is actually transmitted by the worker. But WARN_ON must be used to denote kernel bugs and not to print simple warnings. A warning can simply be printed using pr_warn. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) Astra Linux 1.7 linux, linux-5.10 In the Linux kernel, the following vulnerability has been resolved: gfs2: Fix use-after-free in gfs2_glock_shrink_scan The GLF_LRU flag is checked under lru_lock in gfs2_glock_remove_from_lru() to remove the glock from the lru list in __gfs2_glock_put(). On the shrink scan path, the same flag is cleared under lru_lock but because of cond_resched_lock(&lru_lock) in gfs2_dispose_glock_lru(), progress on the put side can be made without deleting the glock from the lru list. Keep GLF_LRU across the race window opened by cond_resched_lock(&lru_lock) to ensure correct behavior on both sides - clear GLF_LRU after list_del under lru_lock. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8) Astra Linux 1.7 linux, linux-5.10 In the Linux kernel, the following vulnerability has been resolved: kvm: LAPIC: Restore guard to prevent illegal APIC register access Per the SDM, "any access that touches bytes 4 through 15 of an APIC register may cause undefined behavior and must not be executed." Worse, such an access in kvm_lapic_reg_read can result in a leak of kernel stack contents. Prior to commit 01402cf81051 ("kvm: LAPIC: write down valid APIC registers"), such an access was explicitly disallowed. Restore the guard that was removed in that commit. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H', score=7.1) Astra Linux 1.7 linux, linux-5.10 In the Linux kernel, the following vulnerability has been resolved: mm/memory-failure: make sure wait for page writeback in memory_failure Our syzkaller trigger the "BUG_ON(!list_empty(&inode->i_wb_list))" in clear_inode: kernel BUG at fs/inode.c:519! Internal error: Oops - BUG: 0 [#1] SMP Modules linked in: Process syz-executor.0 (pid: 249, stack limit = 0x00000000a12409d7) CPU: 1 PID: 249 Comm: syz-executor.0 Not tainted 4.19.95 Hardware name: linux,dummy-virt (DT) pstate: 80000005 (Nzcv daif -PAN -UAO) pc : clear_inode+0x280/0x2a8 lr : clear_inode+0x280/0x2a8 Call trace: clear_inode+0x280/0x2a8 ext4_clear_inode+0x38/0xe8 ext4_free_inode+0x130/0xc68 ext4_evict_inode+0xb20/0xcb8 evict+0x1a8/0x3c0 iput+0x344/0x460 do_unlinkat+0x260/0x410 __arm64_sys_unlinkat+0x6c/0xc0 el0_svc_common+0xdc/0x3b0 el0_svc_handler+0xf8/0x160 el0_svc+0x10/0x218 Kernel panic - not syncing: Fatal exception A crash dump of this problem show that someone called __munlock_pagevec to clear page LRU without lock_page: do_mmap -> mmap_region -> do_munmap -> munlock_vma_pages_range -> __munlock_pagevec. As a result memory_failure will call identify_page_state without wait_on_page_writeback. And after truncate_error_page clear the mapping of this page. end_page_writeback won't call sb_clear_inode_writeback to clear inode->i_wb_list. That will trigger BUG_ON in clear_inode! Fix it by checking PageWriteback too to help determine should we skip wait_on_page_writeback. [] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) Astra Linux 1.7 linux, linux-5.10 In the Linux kernel, the following vulnerability has been resolved: net: ieee802154: fix null deref in parse dev addr Fix a logic error that could result in a null deref if the user sets the mode incorrectly for the given addr type. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) Astra Linux 1.7 linux, linux-5.10 In the Linux kernel, the following vulnerability has been resolved: scsi: core: Fix error handling of scsi_host_alloc() After device is initialized via device_initialize(), or its name is set via dev_set_name(), the device has to be freed via put_device(). Otherwise device name will be leaked because it is allocated dynamically in dev_set_name(). Fix the leak by replacing kfree() with put_device(). Since scsi_host_dev_release() properly handles IDA and kthread removal, remove special-casing these from the error handling as well. [NistCWE(cwe='CWE-401')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) Astra Linux 1.7 linux In the Linux kernel, the following vulnerability has been resolved: NFS: Fix use-after-free in nfs4_init_client() KASAN reports a use-after-free when attempting to mount two different exports through two different NICs that belong to the same server. Olga was able to hit this with kernels starting somewhere between 5.7 and 5.10, but I traced the patch that introduced the clear_bit() call to 4.13. So something must have changed in the refcounting of the clp pointer to make this call to nfs_put_client() the very last one. [NistCWE(cwe='CWE-416')] None NistCVSS3(cvss='AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.5) - Не использовать недоверенные сторонние модули ядра; - Включить мандатный контроль целостности (МКЦ); - Обеспечить возможность запуска ПО только доверенными, обладающими соответствующими привилегиями пользователями ОС; - Отключить и удалить неиспользуемые учётные записи пользователей; - Для непривилегированных пользователей активировать блокировку интерпретаторов и bash; - Активировать и настроить профили пользователей для работы в режиме Киоск-2; - Запретить установку бита исполнения для всех пользователей, включая администраторов; - Запускать прикладное ПО только на низком или промежуточном (отличном от максимального) уровнях целостности; - Активировать регламентный контроль целостности ОС; - Активировать режим замкнутой программной среды. Astra Linux 1.7 linux, linux-5.10 In the Linux kernel, the following vulnerability has been resolved: NFS: Fix a potential NULL dereference in nfs_get_client() None of the callers are expecting NULL returns from nfs_get_client() so this code will lead to an Oops. It's better to return an error pointer. I expect that this is dead code so hopefully no one is affected. [NistCWE(cwe='CWE-476')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H', score=5.5) Astra Linux 1.7 linux, linux-5.10 In the Linux kernel, the following vulnerability has been resolved: IB/mlx5: Fix initializing CQ fragments buffer The function init_cq_frag_buf() can be called to initialize the current CQ fragments buffer cq->buf, or the temporary cq->resize_buf that is filled during CQ resize operation. However, the offending commit started to use function get_cqe() for getting the CQEs, the issue with this change is that get_cqe() always returns CQEs from cq->buf, which leads us to initialize the wrong buffer, and in case of enlarging the CQ we try to access elements beyond the size of the current cq->buf and eventually hit a kernel panic. [exception RIP: init_cq_frag_buf+103] [ffff9f799ddcbcd8] mlx5_ib_resize_cq at ffffffffc0835d60 [mlx5_ib] [ffff9f799ddcbdb0] ib_resize_cq at ffffffffc05270df [ib_core] [ffff9f799ddcbdc0] llt_rdma_setup_qp at ffffffffc0a6a712 [llt] [ffff9f799ddcbe10] llt_rdma_cc_event_action at ffffffffc0a6b411 [llt] [ffff9f799ddcbe98] llt_rdma_client_conn_thread at ffffffffc0a6bb75 [llt] [ffff9f799ddcbec8] kthread at ffffffffa66c5da1 [ffff9f799ddcbf50] ret_from_fork_nospec_begin at ffffffffa6d95ddd Fix it by getting the needed CQE by calling mlx5_frag_buf_get_wqe() that takes the correct source buffer as a parameter. [NistCWE(cwe='CWE-706')] None NistCVSS3(cvss='AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H', score=7.8)