10критическая
BDU:2024-03262 (CVE-2024-25110)
Уязвимость функции open_get_offered_capabilities() библиотеки языка C для взаимодействия с сервисами Azure uAMQP, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2024-04-25
Описание
Уязвимость функции open_get_offered_capabilities() библиотеки языка C для взаимодействия с сервисами Azure uAMQP связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
Затрагиваемое ПО и версии
OpenSUSE Leap (15.5)SUSE Linux Enterprise Server for SAP Applications (15 SP1)openSUSE TumbleweedSuse Linux Enterprise Server (15 SP1)Debian GNU/Linux (11)Debian GNU/Linux (12)Suse Linux Enterprise Server (15 SP3)SUSE Linux Enterprise Server for SAP Applications (15 SP3)Suse Linux Enterprise Server (15 SP2)SUSE Linux Enterprise Server for SAP Applications (15 SP2)Suse Linux Enterprise Server (15 SP4)SUSE Linux Enterprise Server for SAP Applications (15 SP4)SUSE Linux Enterprise Server for SAP Applications (15 SP5)Suse Linux Enterprise Server (15 SP5)Suse Linux Enterprise Server (15 SP6)SUSE Linux Enterprise Server for SAP Applications (15 SP6)Azure uAMQP (до 2024-01-01)AIG-301 (до 1.5.1)
Способ устранения
Использование рекомендаций:
Для Azure uAMQP:
обновление библиотеки до версии 2024-01-01 и выше
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2024-25110.html
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-25110
Для MOXA AIG-301 Series:
https://www.moxa.com/en/support/product-support/security-advisory/mpsa-248041-aig-301-series-azure-uamqp-vulnerabilities
Оценка CVSS
| Балл | 10 — критическая опасность |
Источники и патчи