ГлавнаяБаза уязвимостей БДУ → BDU:2023-02106
5.4средняя

BDU:2023-02106 (CVE-2023-27536)

Уязвимость библиотеки libcurl, связанная с повторным использованием FTP-соединения, позволяющая нарушителю использовать неправильные учетные данные при выполнении передачи, что потенциально может привести к раскрытию защищаемой информации
Опубликовано: 2023-04-17
Описание

Уязвимость библиотеки libcurl связана с повторным использованием FTP-соединения. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, использовать неправильные учетные данные при выполнении передачи, что потенциально может привести к раскрытию защищаемой информации

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7.0)Ubuntu (18.04 LTS)Red Hat Enterprise Linux (8.0)Ubuntu (14.04 ESM)SUSE Linux Enterprise Server for SAP Applications (12 SP5)Debian GNU/Linux (10)Ubuntu (20.04 LTS)Ubuntu (16.04 ESM)Debian GNU/Linux (11)РЕД ОС (7.3)Astra Linux Special Edition (1.7)OpenSUSE Leap (15.4)Альт 8 СПFedora (36)Suse Linux Enterprise Server (15 SP4)Suse Linux Enterprise Desktop (15 SP4)Ubuntu (22.04 LTS)Red Hat Enterprise Linux (9)SUSE Manager Retail Branch Server (4.3)SUSE Manager Proxy (4.3)SUSE Manager Server (4.3)SUSE Linux Enterprise High Performance Computing (15 SP4)openSUSE Leap Micro (5.2)SUSE Linux Enterprise Module for Basesystem (15 SP4)Astra Linux Special Edition (4.7)Ubuntu (22.10)openSUSE Leap Micro (5.3)cURL (от 7.22.0 до 7.88.1 включительно)ROSA Virtualization (2.1)ОСОН ОСнова Оnyx (до 2.8)
Способ устранения

Использование рекомендаций:

Для библиотеки libcurl:
https://curl.se/docs/CVE-2023-27536.html

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Ubuntu:
https://ubuntu.com/security/CVE-2023-27536

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2023-27536.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2023-27536

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-27536

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/36NBD5YLJXXEDZLDGNFCERWRYJQ6LAQW/

Для ОС Astra Linux Special Edition 1.7:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0426SE17

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0727SE47

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения curl до версии 7.88.1-10+deb12u1

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для системы управления средой виртуализации «ROSA Virtualization» : https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2221

Для ОС Аврора:
https://cve.omp.ru/bb23402

Оценка CVSS
Балл5.4 — средняя опасность
Источники и патчи
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/36NBD5YLJXXEDZLDGNFCERWRYJQ6LAQW/http://repo.red-soft.ru/redos/7.3c/x86_64/updates/https://hackerone.com/reports/1895135https://ubuntu.com/security/CVE-2023-27536https://www.suse.com/security/cve/CVE-2023-27536.htmlhttps://access.redhat.com/security/cve/cve-2023-27536https://security-tracker.debian.org/tracker/CVE-2023-27536https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/36NBD5YLJXXEDZLDGNFCERWRYJQ6LAQW/
Проверьте безопасность своего сайта и почты → Полная проверка домена