ГлавнаяБаза уязвимостей БДУ → BDU:2023-06332
6.1средняя

BDU:2023-06332 (CVE-2023-4527)

Уязвимость функции getaddrinfo системной библиотеки glibc, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2023-10-05
Описание

Уязвимость функции getaddrinfo системной библиотеки glibc связана с чтением данных за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (8)Debian GNU/Linux (10)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Debian GNU/Linux (11)Debian GNU/Linux (12)Ubuntu (22.04 LTS)Red Hat Enterprise Linux (9)Fedora (37)Fedora (38)Fedora (39)ROSA Virtualization (2.1)Ubuntu (23.04)glibc (до 2.39)
Способ устранения

Компенсирующие меры:
- удаление опции диагностики no-aaaa из /etc/resolv.conf.

Использование рекомендаций:
Для glibc:
https://sourceware.org/git/?p=glibc.git;a=commitdiff;h=f282cdbe7f436c75864e5640a409a10485e9abb2
https://sourceware.org/git/gitweb.cgi?p=glibc.git;h=4ea972b7edd7e36610e8cde18bf7a8149d7bac4f
https://sourceware.org/git/gitweb.cgi?p=glibc.git;h=b7529346025a130fee483d42178b5c118da971bb
https://sourceware.org/git/gitweb.cgi?p=glibc.git;h=b25508dd774b617f99419bdc3cf2ace4560cd2d6

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2023-4527

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-4527

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/4DBUQRRPB47TC3NJOUIBVWUGFHBJAFDL/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/DFG4P76UHHZEWQ26FWBXG76N2QLKKPZA/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/NDAQWHTSVOCOZ5K6KPIWKRT3JX4RTZUR/

Для Ubuntu:
https://ubuntu.com/security/notices/USN-6409-1

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет glibc до 2.29-26.018-astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Для системы управления средой виртуализации «ROSA Virtualization» : https://abf.rosalinux.ru/advisories/ROSA-SA-2024-2332

Оценка CVSS
Балл6.1 — средняя опасность
Источники и патчи
https://sourceware.org/git/?p=glibc.git;a=commitdiff;h=f282cdbe7f436c75864e5640a409a10485e9abb2https://sourceware.org/git/gitweb.cgi?p=glibc.git;h=4ea972b7edd7e36610e8cde18bf7a8149d7bac4fhttps://sourceware.org/git/gitweb.cgi?p=glibc.git;h=b7529346025a130fee483d42178b5c118da971bbhttps://sourceware.org/git/gitweb.cgi?p=glibc.git;h=b25508dd774b617f99419bdc3cf2ace4560cd2d6https://access.redhat.com/security/cve/CVE-2023-4527https://security-tracker.debian.org/tracker/CVE-2023-4527https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/4DBUQRRPB47TC3NJOUIBVWUGFHBJAFDL/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/DFG4P76UHHZEWQ26FWBXG76N2QLKKPZA/
Проверьте безопасность своего сайта и почты → Полная проверка домена