ГлавнаяБаза уязвимостей БДУ → BDU:2023-06940
6.8средняя

BDU:2023-06940 (CVE-2023-42669)

Уязвимость функции dcesrv_echo_TestSleep() RPC-сервера rpcecho пакета программ сетевого взаимодействия Samba, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2023-10-21
Описание

Уязвимость функции dcesrv_echo_TestSleep() RPC-сервера rpcecho пакета программ сетевого взаимодействия Samba связана с некорректным освобождением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (8)Debian GNU/Linux (10)Red Hat Storage (3)Ubuntu (20.04 LTS)Debian GNU/Linux (11)Debian GNU/Linux (12)Astra Linux Special Edition (1.7)Ubuntu (22.04 LTS)Red Hat Enterprise Linux (9)Astra Linux Special Edition (4.7)Ubuntu (23.04)АЛЬТ СП 10Samba (от 4.18.0 до 4.18.8)Samba (4.19.0)Samba (от 4.0.0 до 4.17.12)Ubuntu (23.10)ОСОН ОСнова Оnyx (до 2.9)
Способ устранения

Использование рекомендаций:
Для Samba:
https://www.samba.org/samba/security/CVE-2023-42669.html
https://www.samba.org/samba/history/security.html

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-42669

Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2023-42669

Для Ubuntu:
https://ubuntu.com/security/notices/USN-6425-1
https://ubuntu.com/security/notices/USN-6425-3

Компенсирующие меры:
Откллючите сервер rpcecho, настроив конфигурацию:
dcerpc endpoint servers = -rpcecho

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения samba до версии 2:4.15.13+repack-osnova3

Для ОС Astra Linux:
обновить пакет samba до 2:4.17.12+dfsg-0+deb12u1~bpo11+1astra3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет samba до 2:4.17.12+dfsg-0+deb12u1~bpo11+1astra3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Оценка CVSS
Балл6.8 — средняя опасность
Источники и патчи
https://www.samba.org/samba/security/CVE-2023-42669.htmlhttps://security-tracker.debian.org/tracker/CVE-2023-42669https://access.redhat.com/security/cve/cve-2023-42669https://www.samba.org/samba/history/security.htmlhttps://vuldb.com/ru/?id.241968https://ubuntu.com/security/notices/USN-6425-1https://ubuntu.com/security/notices/USN-6425-3https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.9/
Проверьте безопасность своего сайта и почты → Полная проверка домена