ГлавнаяБаза уязвимостей БДУ → BDU:2023-02107
2.6средняя

BDU:2023-02107 (CVE-2023-27533)

Уязвимость утилиты программной строки curl, связанная с неспособностью очищать специальные элементы в другой плоскости, позволяющая нарушителю выполнять произвольный код в системе.
Опубликовано: 2023-04-17
Описание

Уязвимость утилиты программной строки curl связана с обменом данными с использованием протокола TELNET, которая может позволить злоумышленнику передать специально созданное имя пользователя и "параметры telnet" во время согласования с сервером. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, отправлять контент или выполнять согласование параметров.

Затрагиваемое ПО и версии
Ubuntu (18.04 LTS)Ubuntu (14.04 ESM)Suse Linux Enterprise Server (12 SP5)Debian GNU/Linux (10)JBoss Core ServicesUbuntu (20.04 LTS)Ubuntu (16.04 ESM)Debian GNU/Linux (11)РЕД ОС (7.3)Astra Linux Special Edition (1.7)OpenSUSE Leap (15.4)SUSE Linux Enterprise Micro (5.1)Альт 8 СПFedora (36)Suse Linux Enterprise Desktop (15 SP4)SUSE Linux Enterprise Micro (5.2)Ubuntu (22.04 LTS)Red Hat Enterprise Linux (9)openSUSE Leap Micro (5.2)Astra Linux Special Edition (4.7)Ubuntu (22.10)SUSE Linux Enterprise Micro (5.3)openSUSE Leap Micro (5.3)cURL (от 7.0.0 до 7.881 включительно)ROSA Virtualization (2.1)ОСОН ОСнова Оnyx (до 2.8)ОС Аврора (до 4.0.2.249 включительно)harbor (2.7.0)ROSA Virtualization 3.0 (3.0)
Способ устранения

Использование рекомендаций:

Для утилиты программной строки CURL:
https://curl.se/docs/CVE-2023-27533.html
https://github.com/curl/curl/commit/538b1e79a6e7b0bb829ab4cecc828d32105d0684

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Ubuntu:
https://ubuntu.com/security/notices/USN-5964-1
https://ubuntu.com/security/notices/USN-5964-2

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2023-27533.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2023-27533

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-27533

Для ОС Аврора:
https://cve.omp.ru/bb23402

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/36NBD5YLJXXEDZLDGNFCERWRYJQ6LAQW/

Для ОС Astra Linux Special Edition 1.7:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0426SE17

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0727SE47

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения curl до версии 7.88.1-10+deb12u1

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Компенсирующие меры для Harbor :
- отключение/удаление неиспользуемых учетных записей пользователей;
- минимизация пользовательских привилегий;
- использование антивирусных средств защиты;
- контроль действий пользователей.

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2024-2411

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2748

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2680

Оценка CVSS
Балл2.6 — средняя опасность
Источники и патчи
https://curl.se/docs/CVE-2023-27533.htmlhttp://repo.red-soft.ru/redos/7.3c/x86_64/updates/https://ubuntu.com/security/notices/USN-5964-1https://ubuntu.com/security/notices/USN-5964-2https://www.suse.com/security/cve/CVE-2023-27533.htmlhttps://access.redhat.com/security/cve/cve-2023-27533https://security-tracker.debian.org/tracker/CVE-2023-27533https://github.com/curl/curl/commit/538b1e79a6e7b0bb829ab4cecc828d32105d0684
Проверьте безопасность своего сайта и почты → Полная проверка домена