ГлавнаяБаза уязвимостей БДУ → BDU:2024-00850
10критическая

BDU:2024-00850 (CVE-2022-24963)

Уязвимость функции apr_encode библиотеки Apache Portable Runtime (APR), позволяющая нарушителю выполнить произвольный код
Опубликовано: 2024-01-31
Описание

Уязвимость функции apr_encode библиотеки Apache Portable Runtime (APR) связана с целочисленным переполнением при обработке длины полей. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Затрагиваемое ПО и версии
Debian GNU/Linux (10)openSUSE TumbleweedDebian GNU/Linux (11)Debian GNU/Linux (12)Ubuntu (22.04 LTS)Red Hat Enterprise Linux (9)Ubuntu (22.10)ONTAP (9)АЛЬТ СП 10Red Hat JBoss Core Services (1)Red Hat JBoss Core Services (RHEL 8)Red Hat JBoss Core Services (RHEL 7)NetApp SolidFire & HCI Storage NodeNetApp SolidFire & HCI Management NodeNetApp HCI Compute Node BIOSSUSE Liberty Linux (9)Portable Runtime (APR) (1.7.0)Jboss Web Server (5.7.4)Red Hat JBoss Web Server (5.7 on RHEL7)Red Hat JBoss Web Server (5.7 on RHEL 8)Red Hat JBoss Web Server (5.7 on RHEL 9)harbor (2.7.0)МСВСфера (9.5)
Способ устранения

Использование рекомендаций:
Для программных продуктов Apache Software Foundation:
https://lists.apache.org/thread/fw9p6sdncwsjkstwc066vz57xqzfksq9

Для Ubuntu:
https://ubuntu.com/security/notices/USN-5885-1

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-24963.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-24963

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-24963

Для программных продуктов NetApp Inc.:
https://security.netapp.com/advisory/ntap-20230908-0008/

Компенсирующие меры для Harbor :
- отключение/удаление неиспользуемых учетных записей пользователей;
- минимизация пользовательских привилегий;
- использование антивирусных средств защиты;
- контроль действий пользователей.

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2023:7711?lang=ru

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://lists.apache.org/thread/fw9p6sdncwsjkstwc066vz57xqzfksq9https://ubuntu.com/security/notices/USN-5885-1https://www.suse.com/security/cve/CVE-2022-24963.htmlhttps://access.redhat.com/security/cve/CVE-2022-24963https://security-tracker.debian.org/tracker/CVE-2022-24963https://security.netapp.com/advisory/ntap-20230908-0008/https://altsp.su/obnovleniya-bezopasnosti/https://errata.msvsphere-os.ru/definition/9/INFCSA-2023:7711?lang=ru
Проверьте безопасность своего сайта и почты → Полная проверка домена