ГлавнаяБаза уязвимостей БДУ → BDU:2024-02979
7.5высокая

BDU:2024-02979 (CVE-2024-24806)

Уязвимость функции uv_getaddrinfo() (src/unix/getaddrinfo.c, src/win/getaddrinfo.c) библиотеки с асинхронным вводом-выводом libuv, позволяющая нарушителю осуществить SSRF-атаку
Опубликовано: 2024-04-17
Описание

Уязвимость функции uv_getaddrinfo() (src/unix/getaddrinfo.c, src/win/getaddrinfo.c) библиотеки с асинхронным вводом-выводом libuv связана с недостаточной проверкой поступающих запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществить SSRF-атаку

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)SUSE Linux Enterprise Server for SAP Applications (12 SP3)SUSE Linux Enterprise Server for SAP Applications (12 SP4)OpenSUSE Leap (15.5)Suse Linux Enterprise Server (12 SP3)Suse Linux Enterprise Server (12 SP4)Red Hat Enterprise Linux (8)SUSE Linux Enterprise Server for SAP Applications (15)SUSE Linux Enterprise Server for SAP Applications (15 SP1)Suse Linux Enterprise Server (12 SP5)SUSE Linux Enterprise Server for SAP Applications (12 SP5)Debian GNU/Linux (10)Suse Linux Enterprise Server (15-LTSS)SUSE Linux Enterprise Server for SAP Applications (12)openSUSE TumbleweedUbuntu (20.04 LTS)Suse Linux Enterprise Server (15 SP1-BCL)Suse Linux Enterprise Server (15 SP1-LTSS)Suse Linux Enterprise Server (15 SP1)Debian GNU/Linux (11)Debian GNU/Linux (12)Suse Linux Enterprise Server (12)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Suse Linux Enterprise Server (15 SP3)SUSE Linux Enterprise Server for SAP Applications (15 SP3)Suse Linux Enterprise Server (15 SP2)SUSE Linux Enterprise Server for SAP Applications (15 SP2)Suse Linux Enterprise Server (15 SP4)Suse Linux Enterprise Server (15)
Способ устранения

Использование рекомендаций:

Для libuv:
обновление библиотеки до версии 1.48.0 и выше

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2024-24806

Для Ubuntu:
https://ubuntu.com/security/CVE-2024-24806
https://ubuntu.com/security/notices/USN-6666-1

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-24806

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2024-24806.html

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Astra Linux:
обновить пакет libuv1 до 1.24.1-1+deb10u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для Astra Linux Special Edition 1.6 «Смоленск»::
обновить пакет libuv1 до 1.24.1-1+deb10u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет libuv1 до 1.24.1-1+deb10u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2605

Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2024:4756?lang=ru

Оценка CVSS
Балл7.5 — высокая опасность
Источники и патчи
https://www.openwall.com/lists/oss-security/2024/02/08/2https://www.openwall.com/lists/oss-security/2024/02/11/1https://github.com/libuv/libuv/commit/0f2d7e784a256b54b2385043438848047bc2a629https://github.com/libuv/libuv/commit/3530bcc30350d4a6ccf35d2f7b33e23292b9de70https://github.com/libuv/libuv/commit/c858a147643de38a09dd4164758ae5b685f2b488https://github.com/libuv/libuv/commit/e0327e1d508b8207c9150b6e582f0adf26213c39https://github.com/libuv/libuv/security/advisories/GHSA-f74f-cvh7-c6q6https://access.redhat.com/security/cve/CVE-2024-24806
Проверьте безопасность своего сайта и почты → Полная проверка домена