ГлавнаяБаза уязвимостей БДУ → BDU:2023-03313
7.5высокая

BDU:2023-03313

Уязвимость функции parse_required_member() протокола сериализации данных protobuf-c, связанная с целочисленным переполнением, позволяющая нарушителю выполнить произвольный код и привести систему к полной компрометации
Опубликовано: 2023-06-22
Описание

Уязвимость функции parse_required_member() протокола сериализации данных protobuf-c связана с целочисленным переполнением. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код и привести систему к полной компрометации

Затрагиваемое ПО и версии
РЕД ОС (7.3)Astra Linux Special Edition (1.7)Fedora (36)Fedora (37)Astra Linux Special Edition (4.7)Fedora (38)ROSA Virtualization (2.1)protobuf-c (до 1.4.1)РОСА ХРОМ (12.4)МСВСфера (9.5)
Способ устранения

Использование рекомендаций:

Для protobuf-c:
https://github.com/protobuf-c/protobuf-c/commit/ec3d900001a13ccdaa8aef996b34c61159c76217

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/EI4JZSHJXW7WOOTAQSV5SUCC5GE2GC2B/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/UGLZZYPOLI733DPETL444E3GY5KSS6LG/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/VNUEZZEPR2F6M67ANXLOPJX6AQL3TK4P/

Для ОС Astra Linux Special Edition 1.7 архитектуры x86-64:
обновить пакет protobuf-c до 1.3.3-1+ci202311091556+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0212SE17

Для системы управления средой виртуализации «ROSA Virtualization» : https://abf.rosalinux.ru/advisories/ROSA-SA-2024-2374

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет protobuf-c до 1.3.3-1+ci202311091556+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2024-2397

Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2023:6621?lang=ru

Оценка CVSS
Балл7.5 — высокая опасность
Источники и патчи
https://github.com/protobuf-c/protobuf-c/commit/ec3d900001a13ccdaa8aef996b34c61159c76217https://github.com/protobuf-c/protobuf-c/issues/499https://github.com/protobuf-c/protobuf-c/pull/513https://github.com/protobuf-c/protobuf-c/releases/tag/v1.4.1https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/EI4JZSHJXW7WOOTAQSV5SUCC5GE2GC2B/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/UGLZZYPOLI733DPETL444E3GY5KSS6LG/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/VNUEZZEPR2F6M67ANXLOPJX6AQL3TK4P/https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0212SE17
Проверьте безопасность своего сайта и почты → Полная проверка домена