ГлавнаяБаза уязвимостей БДУ → BDU:2023-05819
10критическая

BDU:2023-05819 (CVE-2023-38039)

Уязвимость интерфейса утилиты командной строки cURL, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2023-09-19
Описание

Уязвимость интерфейса утилиты командной строки cURL связана с выделением неограниченной памяти при обработке HTTP-заголовков. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
РЕД ОС (7.3)Альт 8 СПFedora (38)Ubuntu (23.04)cURL (от 7.84.0 до 8.2.1 включительно)АЛЬТ СП 10ОСОН ОСнова Оnyx (до 2.9)harbor (2.7.0)ОС Аврора (до 5.1.1 включительно)Kaspersky Endpoint Security (12.1.0.506)Kaspersky Endpoint Security (12.3.0.493)
Способ устранения

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций:
Для cURLl:
https://github.com/curl/curl/commit/3ee79c1674fd6f9
https://github.com/curl/curl/pull/11582
https://curl.se/docs/CVE-2023-38039.html
https://curl.se/download.html

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TEAWTYHC3RT6ZRS5OZRHLAIENVN6CCIS/

Для Ubuntu:
https://ubuntu.com/security/notices/USN-6363-1

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения curl до версии 7.88.1-10+deb12u4osnova1

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Kaspersky:
Обновление программного обеспечения

Компенсирующие меры для Harbor :
- отключение/удаление неиспользуемых учетных записей пользователей;
- минимизация пользовательских привилегий;
- использование антивирусных средств защиты;
- контроль действий пользователей.

Для ОС Аврора:
https://cve.omp.ru/bb25402

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://github.com/curl/curl/commit/3ee79c1674fd6f9https://hackerone.com/reports/2072338https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TEAWTYHC3RT6ZRS5OZRHLAIENVN6CCIS/https://ubuntu.com/security/notices/USN-6363-1https://curl.se/docs/CVE-2023-38039.htmlhttps://altsp.su/obnovleniya-bezopasnosti/https://altsp.su/obnovleniya-bezopasnosti/https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.9/
Проверьте безопасность своего сайта и почты → Полная проверка домена