5.2средняя
BDU:2024-04486 (CVE-2024-24790)
Уязвимость компонента net-netip языка программирования Golang, связанная с неправильным контролем доступа, позволяющая нарушителю обойти существующую политику ограничения доступа
Опубликовано: 2024-06-13
Описание
Уязвимость компонента net-netip языка программирования Golang связана с некорректной работой методов Is (IsPrivate, IsLoopback и т. д.). Эксплуатация уязвимости может позволить нарушителю обойти существующую политику ограничения доступа
Затрагиваемое ПО и версии
Ubuntu (16.04 LTS)Ubuntu (18.04 LTS)OpenSUSE Leap (15.5)Red Hat Enterprise Linux (8)Suse Linux Enterprise Server (12 SP5)SUSE Linux Enterprise Server for SAP Applications (12 SP5)SUSE Linux Enterprise Software Development Kit (12 SP5)openSUSE TumbleweedRed Hat Storage (3)Ubuntu (20.04 LTS)Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)SUSE Linux Enterprise Server for SAP Applications (15 SP3)SUSE Linux Enterprise Server for SAP Applications (15 SP2)SUSE Linux Enterprise High Performance Computing (15 SP2-LTSS)Red Hat Advanced Cluster Management for Kubernetes (2)Red Hat OpenShift Container Platform (4)SUSE Linux Enterprise Server for SAP Applications (15 SP4)Ubuntu (22.04 LTS)Red Hat Enterprise Linux (9)Suse Linux Enterprise Server (15 SP2-LTSS)Red Hat OpenStack Platform (16.2)SUSE Enterprise Storage (7.1)Red Hat Web TerminalNode Maintenance OperatorOpenShift Developer Tools and ServicesSuse Linux Enterprise Server (15 SP3-LTSS)SUSE Linux Enterprise High Performance Computing (15 SP3-LTSS)Red Hat Ceph Storage (5)
Способ устранения
В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Использование рекомендаций:
Для Go:
https://go.dev/cl/590316
https://go.dev/issue/67680
https://groups.google.com/g/golang-announce/c/XbxouI9gY7k/m/TuoGEhxIEwAJ
https://pkg.go.dev/vuln/GO-2024-2887
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2024-24790
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-24790
Для Ubuntu:
https://ubuntu.com/security/CVE-2024-24790
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2024-24790.html
Оценка CVSS
| Балл | 5.2 — средняя опасность |
Источники и патчи