ГлавнаяБаза уязвимостей БДУ → BDU:2024-01928
4средняя

BDU:2024-01928 (CVE-2024-28180)

Уязвимость пакета реализации набора стандартов JWE, JWS, JWT go-jose для языка программирования Go, связанная с некорректной обработкой сильно сжатых входных данных, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2024-03-13
Описание

Уязвимость пакета реализации набора стандартов JWE, JWS, JWT go-jose для языка программирования Go связана с некорректной обработкой сильно сжатых входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
РЕД ОС (7.3)go-jose (до 3.0.3)go-jose (до 4.0.1)go-jose (до 2.6.3)Аврора Центр (до 5.1.0 включительно)
Способ устранения

Использование рекомендаций:
https://github.com/go-jose/go-jose/commit/0dd4dd541c665fb292d664f77604ba694726f298
https://github.com/go-jose/go-jose/commit/add6a284ea0f844fd6628cba637be5451fe4b28a
https://github.com/go-jose/go-jose/commit/f4c051a0653d78199a053892f7619ebf96339502
https://github.com/go-jose/go-jose/security/advisories/GHSA-c5q2-7r4c-mv6g



Для РедОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-consul-cve-2024-28180/?sphrase_id=1455069

Для Аврора Центр:
Обновить ППО ""Аврора Центр"" до версии 5.3.0 или выше. В случае невозможности обновления использовать СЗИ нейтрализующие угрозы атак типа ""отказ в обслуживании"" (межсетевые экраны веб-приложений, системы обнаружения вторжений)"

Оценка CVSS
Балл4 — средняя опасность
Источники и патчи
https://github.com/go-jose/go-jose/commit/0dd4dd541c665fb292d664f77604ba694726f298https://github.com/go-jose/go-jose/commit/add6a284ea0f844fd6628cba637be5451fe4b28ahttps://github.com/go-jose/go-jose/commit/f4c051a0653d78199a053892f7619ebf96339502https://github.com/go-jose/go-jose/security/advisories/GHSA-c5q2-7r4c-mv6ghttps://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-consul-cve-2024-28180/?sphrase_id=1455069
Проверьте безопасность своего сайта и почты → Полная проверка домена