ГлавнаяБаза уязвимостей БДУ → BDU:2023-03872
7.6высокая

BDU:2023-03872 (CVE-2023-31486)

Уязвимость библиотеки языка программирования Perl HTTP::Tiny, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Опубликовано: 2023-07-20
Описание

Уязвимость библиотеки языка программирования Perl HTTP::Tiny связана с ошибками процедуры подтверждения подлинности TLS сертификата. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Debian GNU/Linux (10)Debian GNU/Linux (11)Debian GNU/Linux (12)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)РОСА ХРОМ (12.4)HTTP::Tiny (до 0.083)Perl (до 5.38.0)ROSA Virtualization 3.0 (3.0)
Способ устранения

Для HTTP::Tiny:
использование рекомендаций производителя: https://github.com/chansen/p5-http-tiny/pull/153

Для Perl:
использование рекомендаций производителя: https://blog.hackeriet.no/perl-http-tiny-insecure-tls-default-affects-cpan-modules/

Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2023-31486

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0630SE17MD

Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2023-31486

Для ОС Astra Linux Special Edition для архитектуры ARM 4.7:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0907SE47

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2024-2471

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2699

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2821

Оценка CVSS
Балл7.6 — высокая опасность
Источники и патчи
http://www.openwall.com/lists/oss-security/2023/04/29/1http://www.openwall.com/lists/oss-security/2023/05/03/3http://www.openwall.com/lists/oss-security/2023/05/07/2https://blog.hackeriet.no/perl-https://github.com/chansen/p5-https://nvd.nist.gov/vuln/detail/CVE-2023-31486https://security-tracker.debian.org/tracker/CVE-2023-31486https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0630SE17MD
Проверьте безопасность своего сайта и почты → Полная проверка домена