ГлавнаяБаза уязвимостей БДУ → BDU:2023-02103
5.4средняя

BDU:2023-02103 (CVE-2023-27538)

Уязвимость библиотеки libcurl, связанная с обходом процедуры аутентификации, позволяющая нарушителю повторно использовать неподходящее соединение
Опубликовано: 2023-04-17
Описание

Уязвимость библиотеки libcurl связана с обходом процедуры аутентификации, Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, легко сопоставлять два параметра SSH, что может привести к повторному использованию неподходящего соединения, в результате повторного использования ранее установленного соединения SSH, несмотря на то, что параметр SSH был изменен

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Ubuntu (18.04 LTS)Debian GNU/Linux (10)JBoss Core ServicesUbuntu (20.04 LTS)Debian GNU/Linux (11)РЕД ОС (7.3)Astra Linux Special Edition (1.7)OpenSUSE Leap (15.4)Альт 8 СПFedora (36)Suse Linux Enterprise Server (15 SP4)Suse Linux Enterprise Desktop (15 SP4)SUSE Linux Enterprise Server for SAP Applications (15 SP4)Ubuntu (22.04 LTS)Red Hat Enterprise Linux (9)SUSE Linux Enterprise High Performance Computing (15 SP4)openSUSE Leap Micro (5.2)SUSE Linux Enterprise Module for Basesystem (15 SP4)Astra Linux Special Edition (4.7)Ubuntu (22.10)openSUSE Leap Micro (5.3)cURL (от 7.16.1 до 7.88.1 включительно)ОСОН ОСнова Оnyx (до 2.8)
Способ устранения

Использование рекомендаций:

Для библиотеки libcurl:
https://curl.se/docs/CVE-2023-27538.html

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Ubuntu:
https://ubuntu.com/security/CVE-2023-27538

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2023-27538.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2023-27538

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-27538

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/36NBD5YLJXXEDZLDGNFCERWRYJQ6LAQW

Для ОС Astra Linux Special Edition 1.7:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0426SE17

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0727SE47

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения curl до версии 7.88.1-10+deb12u1

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Оценка CVSS
Балл5.4 — средняя опасность
Источники и патчи
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/https://hackerone.com/reports/1898475https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/36NBD5YLJXXEDZLDGNFCERWRYJQ6LAQWhttps://access.redhat.com/security/cve/cve-2023-27538https://curl.se/docs/CVE-2023-27538.htmlhttps://ubuntu.com/security/CVE-2023-27538https://www.suse.com/security/cve/CVE-2023-27538.htmlhttps://security-tracker.debian.org/tracker/CVE-2023-27538
Проверьте безопасность своего сайта и почты → Полная проверка домена