ГлавнаяБаза уязвимостей БДУ → BDU:2023-03851
7.8высокая

BDU:2023-03851 (CVE-2022-3509)

Уязвимость компонента текстового анализа протокола сериализации данных Protobuf, связанная с ошибками при освобождении ресурсов, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2023-07-20
Описание

Уязвимость компонента текстового анализа протокола сериализации данных Protobuf связана с ошибками при освобождении ресурсов. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Debian GNU/Linux (10)Debian GNU/Linux (11)Debian GNU/Linux (12)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Protobuf (от 3.16.0 до 3.16.3)Protobuf (от 3.17.0 до 3.19.6)Protobuf (от 3.19.0 до 3.19.6)Protobuf (от 3.20.0 до 3.20.3)Protobuf (от 3.21.0 до 3.21.7)Android Studio (2023.1.1.27)Android Studio (2022.2.1)ОС Аврора (до 5.1.4 включительно)
Способ устранения

Для Protobuf:
использование рекомендаций производителя: https://github.com/protocolbuffers/protobuf/commit/a3888f53317a8018e7a439bac4abeb8f3425d5e9

Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2022-3509

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0630SE17MD

Для ОС Astra Linux Special Edition для архитектуры ARM 4.7:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0907SE47

Компенсирующие меры для Android Studio:
- отключение/удаление неиспользуемых учетных записей пользователей;
- минимизация пользовательских привилегий;
- использование виртуальных частных сетей для организации удаленного доступа (VPN);
- контроль действий пользователей.

Для ОС Аврора: https://cve.omp.ru/bb27514

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://github.com/protocolbuffers/protobuf/commit/a3888f53317a8018e7a439bac4abeb8f3425d5e9https://security-tracker.debian.org/tracker/CVE-2022-3509https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0630SE17MDhttps://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0907SE47https://cve.omp.ru/bb27514
Проверьте безопасность своего сайта и почты → Полная проверка домена