ГлавнаяБаза уязвимостей БДУ → BDU:2023-06579
2.6средняя

BDU:2023-06579 (CVE-2023-38546)

Уязвимость функции curl_easy_duphandle библиотеки libcurl, позволяющая нарушителю создать или перезаписать файлы cookie
Опубликовано: 2023-10-11
Описание

Уязвимость функции curl_easy_duphandle библиотеки libcurl связана с внешним управлением именем или путем файла. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, создать или перезаписать файлы cookie

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (8)Debian GNU/Linux (10)Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Альт 8 СПRed Hat Enterprise Linux (9)Astra Linux Special Edition (4.7)UBLinux (до 2204)Red Hat Enterprise Linux (9.0 Extended Update Support)ROSA Virtualization (2.1)Red Hat JBoss Core ServicesLibcurl (от 7.9.1 до 8.3.0 включительно)ОСОН ОСнова Оnyx (до 2.9)
Способ устранения

Использование рекомендаций:
Для libcurl:
hhtps://github.com/curl/curl/commit/61275672b46d9abb32857404
https://curl.se/docs/CVE-2023-38546.html

Для UBLinux:
https://security.ublinux.ru/CVE-2023-38546

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2023-38546

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-38546

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения curl до версии 7.88.1-10+deb12u4osnova1

Для ОС Astra Linux Special Edition 1.7 архитектуры x86-64:
обновить пакет curl до 7.64.0-4+deb10u5+astra6 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0212SE17

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет curl до 7.68.0-1ubuntu2.22+astra1+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2748

Оценка CVSS
Балл2.6 — средняя опасность
Источники и патчи
https://github.com/curl/curl/commit/61275672b46d9abb32857404https://curl.se/docs/CVE-2023-38546.htmlhttps://security.ublinux.ru/CVE-2023-38546https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-curl-cve-2023-38546-cve-2023-38545/?sphrase_id=249356https://security-tracker.debian.org/tracker/CVE-2023-38546https://altsp.su/obnovleniya-bezopasnosti/https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.9/https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0212SE17
Проверьте безопасность своего сайта и почты → Полная проверка домена