ГлавнаяБаза уязвимостей БДУ → BDU:2023-00291
10критическая

BDU:2023-00291 (CVE-2022-4338)

Уязвимость программного многоуровневого коммутатора Open vSwitch, связанная с потерей значимости целого числа, позволяющая нарушителю выполнить произвольный код в целевой системе
Опубликовано: 2023-01-23
Описание

Уязвимость программного многоуровневого коммутатора Open vSwitch связана с потерей значимости целого числа при разборе Auto Attach TLV. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, отправлять специально созданные сообщения LLDP в уязвимую систему, запускать целочисленную потерю значимости и выполнять произвольный код в целевой системе

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Debian GNU/Linux (10)Red Hat OpenStack Platform (13.0 (Queens))OpenShift Container Platform (4)Fast DatapathDebian GNU/Linux (11)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Open vSwitch (до 2.13.10)Open vSwitch (от 2.14.0 до 2.14.8)Open vSwitch (от 2.15.0 до 2.15.7)Open vSwitch (от 2.16.0 до 2.16.6)Open vSwitch (от 2.17.0 до 2.17.5)Open vSwitch (от 3.0.0 до 3.0.3)ОСОН ОСнова Оnyx (до 2.7)РОСА ХРОМ (12.4)
Способ устранения

Использование рекомендаций:
Для Open vSwitch:
https://github.com/openvswitch/ovs/pull/405
https://mail.openvswitch.org/pipermail/ovs-dev/2022-December/400596.html

Для РЕД ОС:
https://redos.red-soft.ru/support/secure/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-4338

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-4338

Для ОСОН ОСнова Оnyx (версия 2.7):
Обновление программного обеспечения openvswitch до версии 2.10.7+ds1-0+deb10u3

Для ОС Astra Linux Special Edition 1.7:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0426SE17

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0727SE47

Для операционной системы РОСА ХРОМ: https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2262

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://github.com/openvswitch/ovs/pull/405https://mail.openvswitch.org/pipermail/ovs-dev/2022-December/400596.htmlhttps://redos.red-soft.ru/support/secure/https://access.redhat.com/security/cve/CVE-2022-4338https://security-tracker.debian.org/tracker/CVE-2022-4338https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.7/https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0426SE17https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0727SE47
Проверьте безопасность своего сайта и почты → Полная проверка домена