ГлавнаяБаза уязвимостей БДУ → BDU:2024-03807
7.6высокая

BDU:2024-03807

Уязвимость интерпретатора языка программирования R, связанная с недостатками механизма десериализации, позволяющая нарушителю выполнить произвольный код в целевой системе
Опубликовано: 2024-05-17
Описание

Уязвимость интерпретатора языка программирования R связана с недостатками механизма десериализации. Эксплуаатция уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код в целевой системе с помощью специально созданных файлов формата RDS и .rdx

Затрагиваемое ПО и версии
Debian GNU/Linux (10)Debian GNU/Linux (11)Debian GNU/Linux (12)Fedora (38)Fedora (39)R (от 1.4.0 до 4.4.0)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Использование рекомендаций:
Для R:
https://stat.ethz.ch/pipermail/r-announce/2024/000701.html

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-27322

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/7ZLV4OWXZIJ7EFBIWUZADUSHYJTFAQ4D/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/JVE5FDLFJGTAMOSJ6DREFAODEUBRFWSG/

Оценка CVSS
Балл7.6 — высокая опасность
Источники и патчи
https://www.kb.cert.org/vuls/id/238194https://cran.r-project.org/doc/manuals/r-release/fullrefman.pdfhttps://cran.r-project.org/https://hiddenlayer.com/research/r-bitrary-code-execution/https://www.openwall.com/lists/oss-security/2024/04/29/3https://www.cybersecurity-help.cz/vdb/SB2024043015https://www.cybersecurity-help.cz/vdb/SB20240430102https://www.cybersecurity-help.cz/vdb/SB20240430103
Проверьте безопасность своего сайта и почты → Полная проверка домена