ГлавнаяБаза уязвимостей БДУ → BDU:2023-06308
10критическая

BDU:2023-06308 (CVE-2022-30767)

Уязвимость функции nfs_lookup_reply (net/nfs.c) загрузчика U-Boot встроенных операционных систем на базе Linux, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2023-10-05
Описание

Уязвимость функции nfs_lookup_reply (net/nfs.c) загрузчика U-Boot встроенных операционных систем на базе Linux связана с копированием буфера без проверки размера входных данных. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код

Затрагиваемое ПО и версии
Debian GNU/Linux (10)Ubuntu (20.04 LTS)Debian GNU/Linux (11)Debian GNU/Linux (12)Fedora (36)Ubuntu (22.04 LTS)Ubuntu (22.10)Ubuntu (18.04 ESM)U-Boot (до 2022.04 включительно)U-Boot (2022.07 rc1)U-Boot (2022.07 rc2)
Способ устранения

Использование рекомендаций:
Для U-Boot:
https://source.denx.de/u-boot/u-boot/-/commit/bdbf7a05e26f3c5fd437c99e2755ffde186ddc80

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-30767

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/DF62MVMH3QUGMBDCB3DY2ERQ6EBHTADB/

Для Ubuntu:
https://ubuntu.com/security/notices/USN-5764-1

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://source.denx.de/u-boot/u-boot/-/commit/bdbf7a05e26f3c5fd437c99e2755ffde186ddc80https://security-tracker.debian.org/tracker/CVE-2022-30767https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/DF62MVMH3QUGMBDCB3DY2ERQ6EBHTADB/https://ubuntu.com/security/notices/USN-5764-1
Проверьте безопасность своего сайта и почты → Полная проверка домена