ГлавнаяБаза уязвимостей БДУ → BDU:2023-07637
10критическая

BDU:2023-07637 (CVE-2021-3621)

Уязвимость команды sssctl сервиса управления доступом к удаленным каталогам и механизма аутентификации SSSD, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Опубликовано: 2023-11-11
Описание

Уязвимость команды sssctl сервиса управления доступом к удаленным каталогам и механизма аутентификации SSSD связана с отсутствием мер по очистке входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Debian GNU/Linux (10)Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)ОСОН ОСнова Оnyx (до 2.5)sssd (до 2.6.0)
Способ устранения

Для SSSD:
использование рекомендаций производителя: https://sssd.io/release-notes/sssd-2.6.0.html

Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-3621

Для ОС Astra Linux:
обновить пакет sssd до 2.4.0-1astra.se15 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения sssd до версии 2.5.2-5osnova0

Для Astra Linux Special Edition 4.7:
обновить пакет sssd до 2.4.0-1astra.se15 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47

Для РЕД ОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://bugzilla.redhat.com/show_bug.cgi?id=1975142https://github.com/SSSD/sssd/commit/7ab83f97e1cbefb78ece17232185bdd2985f0bbehttps://github.com/SSSD/sssd/commit/b4b32677a886bc26d60ce0171505aa3ab0c82c8ahttps://nvd.nist.gov/vuln/detail/CVE-2021-3621https://security-tracker.debian.org/tracker/CVE-2021-3621https://sssd.io/release-notes/sssd-2.6.0.htmlhttps://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.5/
Проверьте безопасность своего сайта и почты → Полная проверка домена