ГлавнаяБаза уязвимостей БДУ → BDU:2023-04833
7.8высокая

BDU:2023-04833 (CVE-2023-0836)

Уязвимость серверного программного обеспечения HAProxy, связанная с неполной очисткой временных или вспомогательных ресурсов, позволяющая нарушителю получить доступ к конфиденциальным данным
Опубликовано: 2023-08-21
Описание

Уязвимость серверного программного обеспечения HAProxy связана с неполной очисткой временных или вспомогательных ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)Debian GNU/Linux (10)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Debian GNU/Linux (11)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)РОСА ХРОМ (12.4)HAProxy (2.1.0)HAProxy (2.3.0)HAProxy (2.7.0)HAProxy (от 2.2.0 до 2.2.27)HAProxy (от 2.4.0 до 2.4.21 включительно)HAProxy (от 2.5.0 до 2.5.11 включительно)HAProxy (от 2.6.0 до 2.6.8 включительно)АЛЬТ СП 10
Способ устранения

Для HAProxy:
использование рекомендаций производителя: https://git.haproxy.org/?p=haproxy.git;a=commitdiff;h=2e6bf0a

Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2023-0836

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0727SE47

Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства

Для Astra Linux 1.6 «Смоленск»:
обновить пакет haproxy до 2.2.29-2astra13 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16

Для ОС Astra Linux Special Edition 1.7:
обновить пакет haproxy до 2.2.29-2astra13 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0426SE17

Для ОС Astra Linux:
обновить пакет haproxy до 2.2.32-5astra14 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20241206SE81

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2024-2400

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://git.haproxy.org/?p=haproxy.git;a=commitdiff;h=2e6bf0ahttps://git.haproxy.org/?p=haproxy-2.2.git;a=commit;h=18575ba4e5057afdb80cc06135272889ae1fa2d1https://git.haproxy.org/?p=haproxy-2.6.git;a=commit;h=f988992d16f45ef03d5bbb024a1042ed8123e4c5https://nvd.nist.gov/vuln/detail/CVE-2023-0836https://security-tracker.debian.org/tracker/CVE-2023-0836https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0727SE47https://altsp.su/obnovleniya-bezopasnosti/https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16
Проверьте безопасность своего сайта и почты → Полная проверка домена