ГлавнаяБаза уязвимостей БДУ → BDU:2024-02605
7.8высокая

BDU:2024-02605 (CVE-2023-50966)

Уязвимость модуля для подписи и шифрования объектов JSON для языков программирования Erlang и Elixir erlang-jose (JOSE for Erlang), связанная с неконтролируемым расходом ресурсов, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2024-04-04
Описание

Уязвимость модуля для подписи и шифрования объектов JSON для языков программирования Erlang и Elixir erlang-jose (JOSE for Erlang) связана с неконтролируемым расходом ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Debian GNU/Linux (10)Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Astra Linux Common Edition (1.6 «Смоленск»)erlang-jose (1.11.6)Astra Linux Special Edition (1.8)
Способ устранения

Для erlang-jose компенсирующие меры:
- ограничить размер параметра p2c в JWE;
- использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности удалённого доступа;
- ограничение доступа из общедоступных сетей (Интернет);
- использование виртуальных частных сетей для организации удаленного доступа (VPN).


Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Astra Linux:
обновить пакет erlang-jose до 1.11.5-1.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-1113SE18

Для ОС Astra Linux:
обновить пакет erlang-jose до 1.9.0-1.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-1202SE17

Для ОС Astra Linux:
обновить пакет erlang-jose до 1.9.0-1.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1216SE47

Для ОС Astra Linux:
обновить пакет erlang-jose до 1.9.0-1~bpo9+1.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://github.com/P3ngu1nW/CVE_Request/blob/main/erlang-jose.mdhttps://github.com/potatosalad/erlang-josehttps://hexdocs.pm/jose/JOSE.htmlhttps://security.snyk.io/vuln/SNYK-HEX-JOSE-6468183https://access.redhat.com/security/cve/CVE-2023-50966https://security-tracker.debian.org/tracker/CVE-2023-50966https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-1113SE18https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-1202SE17
Проверьте безопасность своего сайта и почты → Полная проверка домена