ГлавнаяБаза уязвимостей БДУ → BDU:2024-02576
10критическая

BDU:2024-02576

Уязвимость асинхронной библиотеки обмена сообщениями ZeroMQ, связанная с вызовом переполнения буфера стека на сервере, позволяющая нарушителю воздействовать на конфиденциальность, целостность, а также доступность системы
Опубликовано: 2024-04-04
Описание

Уязвимость асинхронной библиотеки обмена сообщениями ZeroMQ связана с вызовом переполнения буфера стека на сервере. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, воздействовать на конфиденциальность, целостность, а также доступность системы отправив специально созданные запросы на подписку на темы, а затем отписавшись

Затрагиваемое ПО и версии
ZeroMQ (до 4.3.3)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)
Способ устранения

Для zeromq:
https://github.com/zeromq/libzmq/security/advisories/GHSA-qq65-x72m-9wr8

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Astra Linux:
обновить пакет zeromq3 до 4.3.4-1+ci202312051711+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет zeromq3 до 4.3.4-1+ci202312051711+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://github.com/zeromq/libzmq/security/advisories/GHSA-qq65-x72m-9wr8https://redos.red-soft.ru/support/secure/https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47
Проверьте безопасность своего сайта и почты → Полная проверка домена