ГлавнаяБаза уязвимостей БДУ → BDU:2023-07689
7.8высокая

BDU:2023-07689 (CVE-2023-23916)

Уязвимость реализации механизмов "цепочной" компрессии HTTP утилиты командной строки cURL, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2023-11-13
Описание

Уязвимость реализации механизмов "цепочной" компрессии HTTP утилиты командной строки cURL связана с возможностью осуществить бесконечное число шагов декомпрессии HTTP-ответов сервера, что приведет к бесконтрольному потреблению памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Debian GNU/Linux (10)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Альт 8 СПActive IQ Unified Manager for VMware vSphereFedora (36)NetApp HCI Baseboard Management Controller H300SNetApp HCI Baseboard Management Controller H500SNetApp HCI Baseboard Management Controller H700SNetApp HCI Baseboard Management Controller H410SОСОН ОСнова Оnyx (до 2.8)NetApp SolidFire & HCI Storage NodecURL (от 7.57.0 до 7.88.0)NetApp SolidFire & HCI Management NodeClustered Data ONTAP Antivirus Connector (9)ОС Аврора (до 4.0.2.249 включительно)Kaspersky Endpoint Security 10 для Linux (10.1.2.329)Kaspersky Security для Microsoft Exchange Server (9.7.364.0)
Способ устранения

Использование рекомендаций:

Для CURL:
https://curl.se/docs/CVE-2023-23916.html

Для Debian GNU/Linux:
https://www.debian.org/security/2023/dsa-5365

Для программных продуктов NetApp Inc:
https://security.netapp.com/advisory/ntap-20230309-0006/

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/BQKE6TXYDHOTFHLTBZ5X73GTKI7II5KO/

Для ОС Аврора:
https://cve.omp.ru/bb23402

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения curl до версии 7.88.1-10+deb12u1

Для ОС Astra Linux Special Edition 1.7:
обновить пакет curl до 7.64.0-4+deb10u5+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для KESL-Эльбрус:

Обновление программного обеспечения до актуальной версии

Для Kaspersky Security для Microsoft Exchange Server:
При настройке пользовательского адреса источника обновлений необходимо указывать сетевую или локальную папку. При использовании в качестве источника обновлений публичных серверов "Лаборатории Касперского" уязвимости неприменимы.

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://curl.se/docs/CVE-2023-23916.htmlhttps://hackerone.com/reports/1826048https://lists.debian.org/debian-lts-announce/2023/02/msg00035.htmlhttps://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/BQKE6TXYDHOTFHLTBZ5X73GTKI7II5KO/https://security.gentoo.org/glsa/202310-12https://security.netapp.com/advisory/ntap-20230309-0006/https://www.debian.org/security/2023/dsa-5365https://altsp.su/obnovleniya-bezopasnosti/
Проверьте безопасность своего сайта и почты → Полная проверка домена