ГлавнаяБаза уязвимостей БДУ → BDU:2023-02109
5.4средняя

BDU:2023-02109 (CVE-2023-27536)

Уязвимость функции повторного использования соединения библиотеки libcurl, позволяющая нарушителю повлиять на передачу данных krb5/kerberos / negotiate /GSSAPI и потенциально привести к несанкционированному доступу к конфиденциальной информации
Опубликовано: 2023-04-17
Описание

Уязвимость функции повторного использования соединения библиотеки libcurl связана с обходом аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, повлиять на передачу данных krb5/kerberos / negotiate /GSSAPI и потенциально привести к несанкционированному доступу к конфиденциальной информации в результате сбоя в проверке изменений в опции CURLOPT_GSSAPI_DELEGATION

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7.0)Ubuntu (18.04 LTS)Red Hat Enterprise Linux (8.0)Ubuntu (14.04 ESM)SUSE Linux Enterprise Server for SAP Applications (12 SP5)Debian GNU/Linux (10)Ubuntu (20.04 LTS)Ubuntu (16.04 ESM)Debian GNU/Linux (11)РЕД ОС (7.3)Astra Linux Special Edition (1.7)OpenSUSE Leap (15.4)Альт 8 СПFedora (36)Suse Linux Enterprise Server (15 SP4)Suse Linux Enterprise Desktop (15 SP4)Ubuntu (22.04 LTS)Red Hat Enterprise Linux (9)SUSE Manager Retail Branch Server (4.3)SUSE Manager Proxy (4.3)SUSE Manager Server (4.3)SUSE Linux Enterprise High Performance Computing (15 SP4)openSUSE Leap Micro (5.2)SUSE Linux Enterprise Module for Basesystem (15 SP4)Astra Linux Special Edition (4.7)Ubuntu (22.10)openSUSE Leap Micro (5.3)cURL (от 7.22.0 до 7.88.1 включительно)ROSA Virtualization (2.1)ОСОН ОСнова Оnyx (до 2.8)
Способ устранения

Использование рекомендаций:

Для библиотеки libcurl:
https://curl.se/docs/CVE-2023-27536.html

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Ubuntu:
https://ubuntu.com/security/CVE-2023-27536

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2023-27536.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2023-27536

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-27536

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/36NBD5YLJXXEDZLDGNFCERWRYJQ6LAQW/

Для ОС Astra Linux Special Edition 1.7:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0426SE17

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0727SE47

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения curl до версии 7.88.1-10+deb12u1

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОС Аврора:
https://cve.omp.ru/bb23402

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2748

Оценка CVSS
Балл5.4 — средняя опасность
Источники и патчи
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/36NBD5YLJXXEDZLDGNFCERWRYJQ6LAQW/https://nvd.nist.gov/vuln/detail/CVE-2023-27536http://repo.red-soft.ru/redos/7.3c/x86_64/updates/https://hackerone.com/reports/1895135https://ubuntu.com/security/CVE-2023-27536https://www.suse.com/security/cve/CVE-2023-27536.htmlhttps://access.redhat.com/security/cve/cve-2023-27536https://security-tracker.debian.org/tracker/CVE-2023-27536
Проверьте безопасность своего сайта и почты → Полная проверка домена