ГлавнаяБаза уязвимостей БДУ → BDU:2023-07355
7.1высокая

BDU:2023-07355 (CVE-2023-4586)

Уязвимость сетевого программного средства Netty, связана с ошибками при проверке сертификата TLS, позволяющая нарушителю выполнить атаку типа "человек посередине"
Опубликовано: 2023-11-01
Описание

Уязвимость сетевого программного средства Netty связана с ошибками при проверке сертификата TLS. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить атаку типа "человек посередине"

Затрагиваемое ПО и версии
Data Grid (8)netty (от 4.1.0 до 5.0.0)hotrod-client
Способ устранения

Компенсирующие меры:
- использование средств межсетевого экранирования и средств обнаружения и предотвращения вторжений (IDS/IPS) для отслеживания подключений к устройству;
- ограничение доступа к устройству из внешних сетей (Интернет);
- использование средств межсетевого экранирования с целью ограничения доступа к устройству.

Использование рекомендаций:
Для Netty:
Обновление программного обеспечения до версии 5.0.0 и выше

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2023-4586

Оценка CVSS
Балл7.1 — высокая опасность
Источники и патчи
https://vuldb.com/ru/?id.238259https://bugzilla.redhat.com/show_bug.cgi?id=2235564https://access.redhat.com/security/cve/CVE-2023-4586https://github.com/opensearch-project/security/issues/3477https://github.com/jeremylong/DependencyCheck/issues/5912https://github.com/netty/netty/issues/10806https://github.com/netty/netty/issues/8537https://github.com/netty/netty/issues/9930
Проверьте безопасность своего сайта и почты → Полная проверка домена