ASA-202101-45 лог внешний источник raw-данные

[ASA-202101-45] libgcrypt: выполнение произвольного кода
Рекомендация по безопасности UBLinux ASA-202101-45 ================================================== Уровень : Критический Дата : 2021-01-29 CVE-ID : CVE-2021-3345 Пакет : libgcrypt Тип : выполнение произвольного кода Удалённо : Нет Ссылка : https://security.ublinux.ru/AVG-15 Сводка ======= Пакет libgcrypt до версии 1.9.1-1 имеет уязвимость выполнение произвольного кода. Решение ========== Обновление до версии 1.9.1-1. # pacman -Syu "libgcrypt>=1.9.1-1" Проблема устранена в апстриме в версии 1.9.1. Путь для обхода ========== Нет. Описание =========== _gcry_md_block_write в cipher / hash-common.c в libgcrypt версии 1.9.0 имеет переполнение буфера на основе кучи, когда финальная функция дайджеста устанавливает большое значение счетчика. Простое дешифрование некоторых данных может привести к переполнению буфера кучи данными, контролируемыми злоумышленником, никакая проверка или подпись не проверяются до возникновения уязвимости. Проблема исправлена в версии 1.9.1. Влияние ====== Злоумышленник может выполнить произвольный код на пораженном узле до того, как данная подпись будет проверена. Рекомендации ========== https://lists.gnupg.org/pipermail/gnupg-announce/2021q1/000456.html https://dev.gnupg.org/T5275 https://git.gnupg.org/cgi-bin/gitweb.cgi?p=libgcrypt.git;a=commitdiff;h=512c0c75276949f13b6373b5c04f7065af750b08 https://security.ublinux.ru/CVE-2021-3345

[ASA-202101-45] libgcrypt: выполнение произвольного кода

Рекомендация по безопасности UBLinux ASA-202101-45 ================================================== Уровень : Критический Дата : 2021-01-29 CVE-ID : CVE-2021-3345 Пакет : libgcrypt Тип : выполнение произвольного кода Удалённо : Нет Ссылка : https://security.ublinux.ru/AVG-15 Сводка ======= Пакет libgcrypt до версии 1.9.1-1 имеет уязвимость выполнение произвольного кода. Решение ========== Обновление до версии 1.9.1-1. # pacman -Syu "libgcrypt>=1.9.1-1" Проблема устранена в апстриме в версии 1.9.1. Путь для обхода ========== Нет. Описание =========== _gcry_md_block_write в cipher / hash-common.c в libgcrypt версии 1.9.0 имеет переполнение буфера на основе кучи, когда финальная функция дайджеста устанавливает большое значение счетчика. Простое дешифрование некоторых данных может привести к переполнению буфера кучи данными, контролируемыми злоумышленником, никакая проверка или подпись не проверяются до возникновения уязвимости. Проблема исправлена в версии 1.9.1. Влияние ====== Злоумышленник может выполнить произвольный код на пораженном узле до того, как данная подпись будет проверена. Рекомендации ========== https://lists.gnupg.org/pipermail/gnupg-announce/2021q1/000456.html https://dev.gnupg.org/T5275 https://git.gnupg.org/cgi-bin/gitweb.cgi?p=libgcrypt.git;a=commitdiff;h=512c0c75276949f13b6373b5c04f7065af750b08 https://security.ublinux.ru/CVE-2021-3345