ГлавнаяБаза уязвимостей БДУ → BDU:2024-01678
5средняя

BDU:2024-01678 (CVE-2024-1481)

Уязвимость функции run() сценария сервера FreeIPA, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации или вызвать отказ в обслуживании
Опубликовано: 2024-03-04
Описание

Уязвимость функции run() сценария ipautil.py сервера FreeIPA связана с недостаточной проверкой входных данных в процессе установления сеанса при обработке параметра user (/sip/session/login_password). Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации или вызвать отказ в обслуживании путем отправки специально созданных HTTP-запросов

Затрагиваемое ПО и версии
РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Альт 8 СПFedora (39)АЛЬТ СП 10Fedora (40)FreeIPA (от 4.6.0 до 4.6.10)FreeIPA (от 4.9.0 до 4.9.14)FreeIPA (от 4.10.0 до 4.10.3)FreeIPA (от 4.11.0 до 4.11.1)Fedora (41)
Способ устранения

Использование рекомендаций:
Для FreeIPA:
https://pagure.io/freeipa/releases
https://releases.pagure.org/freeipa/
https://github.com/freeipa/freeipa/tags
https://pagure.io/freeipa/c/204011dc0514681511275a4b70a13bfa85c1a538.patch
https://pagure.io/freeipa/c/404fe1018e08e546fd14c83741e00b900c1cd208
https://pagure.io/freeipa/c/33af154b7f2c92e199d10a36a48310da9b7e77a8
https://pagure.io/freeipa/issue/9541
https://pagure.io/freeipa/c/e4628c4573661afb10bdc81f8739e7004849d246
https://pagure.io/freeipa/c/09c3b322aa9d942bc3e04a725323821d19bac0eb
https://pagure.io/freeipa/c/b039f3087a13de3f34b230dbe29a7cfb1965700d
https://pagure.io/freeipa/c/96a478bbedd49c31e0f078f00f2d1cb55bb952fd
https://pagure.io/freeipa/c/921661fd460799da69043e06e058cff75a64ce3c
https://pagure.io/freeipa/c/204011dc0514681511275a4b70a13bfa85c1a538
https://pagure.io/freeipa/c/8b598814d1e51466ebbe3e0a392af92370d0c93b
https://pagure.io/freeipa/c/5781369e78fd83cee64a4d306198423c7a126ba0

Для Fedora:
https://bodhi.fedoraproject.org/updates/FEDORA-2024-826453ad39
https://bodhi.fedoraproject.org/updates/FEDORA-2024-9fc8015fa9
https://bodhi.fedoraproject.org/updates/FEDORA-2024-d7b9fbb2a5

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Для ОС Astra Linux:
обновить пакет freeipa до 4.8.10-1astra90 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17

Для ОС Astra Linux:
обновить пакет freeipa до 4.8.10-1astra90 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47

Оценка CVSS
Балл5 — средняя опасность
Источники и патчи
https://access.redhat.com/security/cve/cve-2024-1481https://vuldb.com/ru/?id.254512https://bugzilla.redhat.com/show_bug.cgi?id=2262169https://pagure.io/freeipa/releaseshttps://releases.pagure.org/freeipa/https://github.com/freeipa/freeipa/tagshttps://pagure.io/freeipa/c/204011dc0514681511275a4b70a13bfa85c1a538.patchhttps://pagure.io/freeipa/c/404fe1018e08e546fd14c83741e00b900c1cd208
Проверьте безопасность своего сайта и почты → Полная проверка домена