ООО «РЕД СОФТ» сообщает об устранении уязвимости

Общество с ограниченной ответственностью «РЕД СОФТ», являющееся разработчиком и поставщиком операционной системы «РЕД ОС», децимальный номер RU.29926343.02.01-01 (далее РЕД ОС), во исполнение Требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, утверждённых приказом ФСТЭК России от 30 июля 2018 г. № 131, доводит до Вашего сведения информацию об обнаруженных уязвимостях в РЕД ОС.

1 Описание уязвимости:

Уязвимость в `curl`. Уязвимость позволяет перезаписать локальный файл в системе при обращении к подконтрольному атакующему серверу. Проблема проявляется только при одновременном использовании опций `-J` (`–remote-header-name`) и `-i` (`–head`). Опция `-J` позволяет сохранить файл с именем, указанным в заголовке “Content-Disposition”. В случае если файл с таким именем уже существует, программа curl в штатном режиме отказывается выполнить перезапись, но в случае наличия опции `-i` логика проверки нарушается и файл перезаписывается (проверка осуществляется на этапе получения тела ответа, но при опции `-i` вначале выводятся HTTP-заголовки и они успевают сохраниться до начала обработки тела ответа). В файл записываются только HTTP-заголовки, но сервер может отдать вместо заголовков произвольные данные и они будут записаны.

2 Возможные меры по устранению уязвимости

  • запретить использование утилиты `curl`;
  • установить обновления безопасности для пакета `curl-7.61.1`.

2.1 Установка обновлений возможна следующими способами:

  • Если компьютер с установленной версией ОС имеет доступ к официальному репозиторию производителя, необходимо запустить от имени администратора обновление командой `# yum update`.

    После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.

  • Если компьютер с установленной версией ОС не имеет доступа к официальному репозиторию производителя, необходимо выполнить следующие действия:
    1. скачать обновленный пакет (и зависимости при необходимости);
    2. Проверить целостность и подлинность пакета по инструкции;
    3. Установить скачанный пакет командой `# yum localinstall curl-7.61.1-14.el7.x86_64.rpm`.

После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу `Y` на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.

После выполнения обновления не забудьте сделать соответствующую отметку в формуляре изделия с указанием типа, даты и времени обновления, а также с указанием фамилии лица, применившего его.