В какой версии системы устранены следующие уязвимости?

[0dmin]

В какой версии системы устранены следующие уязвимости?
BDU:2023-06203
BDU:2023-06268
BDU:2023-06269
BDU:2023-06559
BDU:2023-06566

И как вообще проследить зависимость между бюллетенями обновлений Астры и списками уязвимостей от ФСТЭКа и от NIST.gov?
Например поиск по сайту https://wiki.astralinux.ru/
по ключевым словам BDU:2023-06203 и CVE-2023-39191 ничего не выдаёт...

 

[MickM]

CVE-2023-39191 ничего не выдаёт...

Это ядерный баг, выполните обновление системы и посмотрите вывод:

uname -a

увидите дату компиляции ядра, которую сможете сопоставить с датой найденной уязвимости.

 

[0dmin]

>увидите дату компиляции ядра, которую сможете сопоставить с датой найденной уязвимости

Смешно.

 

[MickM]

Смешно.

Ага, именно так.

После того как посмеялись, можно обратиться и в тех.поддержку, там уж точно на полном серьёзе и ответят.

 

[0dmin]

А ТП Астры здесь не отвечает?

 

[ALSE_User]

А ТП Астры здесь не отвечает?

На моей памяти нет.
У обладателей учетной записи в личном кабинете ТП есть файлы с фиксацией уязвимостей по каждому выпущенному обновлению.

 

[ALSE_User]

По поводу BDU:2023-06203 и CVE-2023-39191:

уязвимы ядра от 5.19 до 6.2.2 включительно - только в обновление 1.7.5 включено ядро 6.1, до этого было 5.15

Не стоит ждать устранения уязвимостей в течении скажем месяца со дня опубликования (только если в порядке рекомендаций типа выполнить что-то) - все изменения необходимо провести через сертификационную лабораторию, это долго.

 

[0dmin]

ALSE_User, да, это я оптом набросал уязвимостей.
Реально интересна вот эта: https://bdu.fstec.ru/vul/2023-06566
В текущей версии Астры 1.7.4.7 версия libcue 2.2.1-2.
Непонятно, есть в ней указанная дыра или нет...

 

[ALSE_User]

Если верить сайту Debian (https://security-tracker.debian.org/tracker/CVE-2023-43641) - то есть.
Пофиксили в версии 2.2.1-2+deb10u1

А в AL 1.7.4.7 скорее всего непатченная либа, но не факт.