ГлавнаяБаза уязвимостей БДУ → BDU:2023-03871
7.6высокая

BDU:2023-03871 (CVE-2023-31484)

Уязвимость компонента CPAN.pm языка программирования Perl, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Опубликовано: 2023-07-20
Описание

Уязвимость компонента CPAN.pm языка программирования Perl связана с ошибками процедуры подтверждения подлинности TLS сертификата. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Debian GNU/Linux (10)Debian GNU/Linux (11)Debian GNU/Linux (12)Astra Linux Special Edition (1.7)Fedora (37)Astra Linux Special Edition (4.7)Fedora (38)Astra Linux Common Edition (1.6 «Смоленск»)ROSA Virtualization (2.1)Perl (до 2.35)ROSA Virtualization 3.0 (3.0)ОСОН ОСнова Оnyx (до 3.1)
Способ устранения

Использование рекомендаций:
Для Perl:
https://blog.hackeriet.no/perl-http-tiny-insecure-tls-default-affects-cpan-modules/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-31484

Для ОС Astra Linux:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0630SE17MD

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BM6UW55CNFUTNGD5ZRKGUKKKFDJGMFHL/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/LEGCEOKFJVBJ2QQ6S2H4NAEWTUERC7SB/

Для ОС Astra Linux Special Edition для архитектуры ARM 4.7:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0907SE47

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2698

Для системы управления средой виртуализации «ROSA Virtualization»:
https://abf.rosa.ru/advisories/ROSA-SA-2025-2957

Для ОС Astra Linux:
обновить пакет perl до 5.24.1-3+deb9u8 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16

Для ОСОН ОСнова Оnyx: Обновление программного обеспечения perl до версии 5.36.0-7+deb12u3.osnova3u1

Оценка CVSS
Балл7.6 — высокая опасность
Источники и патчи
http://www.openwall.com/lists/oss-security/2023/04/29/1http://www.openwall.com/lists/oss-security/2023/05/03/3https://blog.hackeriet.no/perl-https://github.com/andk/cpanpm/commit/9c98370287f4e709924aee7c58ef21c85289a7f0https://github.com/andk/cpanpm/pull/175https://metacpan.org/dist/CPAN/changeshttps://nvd.nist.gov/vuln/detail/CVE-2023-31484https://security-tracker.debian.org/tracker/CVE-2023-31484
Проверьте безопасность своего сайта и почты → Полная проверка домена