Уязвимость метода SetAll() системы межпроцессного взаимодействия D-Bus операционных систем Red Hat Enterprise Linux связана с недостатками процедуры авторизации. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- ограничить возможность активации службы вызовов через маскирование rhsm.service путем выполнения команды:
systemctl mask rhsm.service
- минимизация пользовательских привилегий;
- отключение/удаление не используемых учётных записей пользователей.
Использование рекомендаций производителя:
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2023-3899
Для РедОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-subscription-manager-cve-2023-3899/
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
| Балл | 6.8 — высокая опасность |