ГлавнаяБаза уязвимостей БДУ → BDU:2023-02373
7.8высокая

BDU:2023-02373 (CVE-2023-24607)

Уязвимость плагина SQL ODBC кроссплатформенного фреймворка для разработки программного обеспечения Qt, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2023-05-04
Описание

Уязвимость плагина SQL ODBC кроссплатформенного фреймворка для разработки программного обеспечения Qt связана c некорректной зачисткой или освобождением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании с помощью специально созданных данных

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)Debian GNU/Linux (10)Debian GNU/Linux (11)Astra Linux Special Edition (1.7)OpenSUSE Leap (15.4)Fedora (36)Suse Linux Enterprise Server (15 SP4)Suse Linux Enterprise Desktop (15 SP4)SUSE Linux Enterprise Server for SAP Applications (15 SP4)Fedora (37)Astra Linux Special Edition (4.7)Qt (от 5.0.0 до 5.15.13)Qt (от 6.0.0 до 6.2.8)Qt (от 6.0.0 до 6.4.3)ОСОН ОСнова Оnyx (до 2.11)ОС Аврора (до 5.1.4 включительно)
Способ устранения

Использование рекомендаций:

Для Qt:
https://www.qt.io/blog/security-advisory-qt-sql-odbc-driver-plugin

Для программных продуктов Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-24607

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2023-24607.html

Для программных продуктов Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ROR2PXGZF6MR6GU4CVH5ANLG42EZEIQK/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/GGO54VNEU4WIOXZDCAWUWODWDXSOCH5X/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/W4ZAX7XVWQG2FZM26HYNLDPNXI3RJQ5G/

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0727SE47

Для Astra Linux 1.6 «Смоленск»:
обновить пакет qtbase-opensource-src до 5.11.0-0astra72 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16

Для ОСОН ОСнова Оnyx (2.11):
Обновление программного обеспечения qtbase-opensource-src до версии 5.11.3+dfsg1.repack-1+deb10u6.osnova1

Для ОС Astra Linux Special Edition 1.7:
обновить пакет qtbase-opensource-src до 5.15.2+dfsg-0astra34 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0426SE17

Для ОС Аврора: https://cve.omp.ru/bb27514

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://codereview.qt-project.org/c/qt/qtbase/+/456216https://codereview.qt-project.org/c/qt/tqtc-qtbase/+/456217https://codereview.qt-project.org/c/qt/tqtc-qtbase/+/456238https://download.qt.io/official_releases/qt/5.15/CVE-2023-24607-qtbase-5.15.diffhttps://github.com/qt/qtbase/commit/aaf1381eab6292aa0444a5eadcc24165b6e1c02dhttps://www.qt.io/blog/security-advisory-qt-sql-odbc-driver-pluginhttps://www.qt.io/blog/tag/securityhttps://security-tracker.debian.org/tracker/CVE-2023-24607
Проверьте безопасность своего сайта и почты → Полная проверка домена