Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- отключение неиспользуемых учетных записей, а также учетных записей недоверенных пользователей;
- минимизация пользовательских привилегий;
- включение функции безопасной загрузки в уязвимой операционной системе;
- принудительная смена паролей пользователей;
- использование антивирусных средств защиты для отслеживания попыток эксплуатации уязвимости.

Использование рекомендаций производителя:
Для glibc:
https://sourceware.org/git/?p=glibc.git;a=commit;h=1056e5b4c3f2d90ed2b4a55f96add28da2f4c8fa

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2023-4911

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-4911

Для Ubuntu:
https://ubuntu.com/security/notices/USN-6409-1

Для Fedora:
https://bodhi.fedoraproject.org/updates/FEDORA-2023-028062484e

Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства

Для ОС Альт Рабочая станция К 10:
https://packages.altlinux.org/ru/vuln/CVE-2023-4911

Минимизация последствий эксплуатации возможна путём выполнения сценария SystemTap:
1) Установка необходимых пакетов systemtap и зависимостей согласно https://access.redhat.com/solutions/5441 .

2) Создание следующего сценария systemtap с названием «stap_block_suid_tunables.stp»:
function has_tunable_string:long()
{
name = “GLIBC_TUNABLES”

mm = @task(task_current())->mm;
if (mm)
{
env_start = @mm(mm)->env_start;
env_end = @mm(mm)->env_end;

if (env_start != 0 && env_end != 0)
while (env_end > env_start)
{
cur = user_string(env_start, “”);
env_name = tokenize(cur, “=”);

if (env_name == name && tokenize(“”, “”) != “”)
return 1;
env_start += strlen (cur) + 1
}
}

return 0;
}

probe process(“/lib/ld.so”).function(“__tunables_init”)
{
atsecure = 0;
/ Skip processing if we can't read libc_enable_secure, e.g. core dump
handler (systemd-cgroups-agent and systemd-coredump). */
try { atsecure = @var(“libc_enable_secure”); }
catch { printk (4, sprintf (“CVE-2023-4911: Skipped check: %s (%d)”, execname(), pid())); }
if (atsecure && has_tunable_string ())
raise (9);
}

3) Загрузка модуля systemtap в работающее ядро:
stap -g -F -m stap_block_suid_tunables stap_block_suid_tunables.stp

4) Проверка загрузки модуля:
lsmod | grep -i stap_block_suid_tunables
stap_block_suid_tunables 249856 0

5) После обновления пакета glibc до версии, содержащей исправление, необходимо удалить сгенерированный systemtap модуль ядра, выполнив:
rmmod stap_block_suid_tunables

Указанные шаги по устранению проблемы необходимо повторять после каждой перезагрузки операционной системы.

Для ОС РОСА “КОБАЛЬТ”: https://abf.rosalinux.ru/advisories/ROSA-SA-2024-2331

Для системы управления средой виртуализации «ROSA Virtualization» : https://abf.rosalinux.ru/advisories/ROSA-SA-2024-2332

Для ОС Аврора:
https://cve.omp.ru/bb25402