ГлавнаяБаза уязвимостей БДУ → BDU:2023-00290
10критическая

BDU:2023-00290 (CVE-2022-4337)

Уязвимость программного многоуровневого коммутатора Open vSwitch, связанная с потерей значимости целого числа, позволяющая нарушителю выполнить произвольный код в целевой системе
Опубликовано: 2023-01-23
Описание

Уязвимость программного многоуровневого коммутатора Open vSwitch связана с потерей значимости целого числа при разборе Auto Attach TLV. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, отправлять специально созданные сообщения LLDP в уязвимую систему, запускать целочисленную потерю значимости и выполнять произвольный код в целевой системе

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Debian GNU/Linux (10)Red Hat OpenStack Platform (13.0 (Queens))OpenShift Container Platform (4)Fast DatapathDebian GNU/Linux (11)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Open vSwitch (до 2.13.10)Open vSwitch (от 2.14.0 до 2.14.8)Open vSwitch (от 2.15.0 до 2.15.7)Open vSwitch (от 2.16.0 до 2.16.6)Open vSwitch (от 2.17.0 до 2.17.5)Open vSwitch (от 3.0.0 до 3.0.3)ОСОН ОСнова Оnyx (до 2.7)РОСА ХРОМ (12.4)
Способ устранения

Использование рекомендаций:
Для Open vSwitch:
https://github.com/openvswitch/ovs/commit/7490f281f09a8455c48e19b0cf1b99ab758ee4f4
https://github.com/openvswitch/ovs/pull/405

Для РЕД ОС:
https://redos.red-soft.ru/support/secure/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-4337

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-4337

Для ОСОН ОСнова Оnyx (версия 2.7):
Обновление программного обеспечения openvswitch до версии 2.10.7+ds1-0+deb10u3

Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD

Для Astra Linux Special Edition для архитектуры ARM для 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD

Для операционной системы РОСА ХРОМ: https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2262

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://github.com/openvswitch/ovs/commit/7490f281f09a8455c48e19b0cf1b99ab758ee4f4https://github.com/openvswitch/ovs/pull/405https://redos.red-soft.ru/support/secure/https://access.redhat.com/security/cve/CVE-2022-4337https://security-tracker.debian.org/tracker/CVE-2022-4337https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.7/https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MDhttps://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD
Проверьте безопасность своего сайта и почты → Полная проверка домена