ГлавнаяБаза уязвимостей БДУ → BDU:2023-06566
10критическая

BDU:2023-06566 (CVE-2023-43641)

Уязвимость прикладного программного интерфейса библиотеки libcue, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2023-10-11
Описание

Уязвимость прикладного программного интерфейса библиотеки libcue связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путём загрузки контрольной таблицы с вредоносной веб-страницы

Затрагиваемое ПО и версии
Debian GNU/Linux (10)Ubuntu (20.04 LTS)Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)Ubuntu (22.04 LTS)Fedora (37)UBLinux (до 2204)Fedora (38)Ubuntu (23.04)libcue (до 2.2.1 включительно)ОСОН ОСнова Оnyx (до 2.9)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности удалённого доступа;
- использование антивирусного программного обеспечения для отслеживания средств эксплуатации уязвимости;
- использование систем обнаружения и предотвращения вторжений для ограничения возможности загрузки вредоносных файлов.

Использование рекомендаций:
Для libcue:
https://github.com/lipnitsk/libcue/security/advisories/GHSA-5982-x7hv-r9cj

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-43641

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/2IYRNAHR55MLFOHVOOIO46GBTGZD4G4W/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/U7FPN4SA2GU3D2YOFXF2KDBWTFJX7MOW/

Для Ubuntu:
https://ubuntu.com/security/notices/USN-6423-1

Для UBLinux:
https://security.ublinux.ru/CVE-2023-43641

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения libcue до версии 2.2.1-2+deb10u1

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://github.com/lipnitsk/libcue/security/advisories/GHSA-5982-x7hv-r9cjhttps://security-tracker.debian.org/tracker/CVE-2023-43641https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/2IYRNAHR55MLFOHVOOIO46GBTGZD4G4W/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/U7FPN4SA2GU3D2YOFXF2KDBWTFJX7MOW/https://ubuntu.com/security/notices/USN-6423-1https://github.blog/2023-10-09-coordinated-disclosure-1-click-rce-on-gnome-cve-2023-43641/https://security.gentoo.org/glsa/202310-10https://security.ublinux.ru/CVE-2023-43641
Проверьте безопасность своего сайта и почты → Полная проверка домена