ГлавнаяБаза уязвимостей БДУ → BDU:2024-04486
5.2средняя

BDU:2024-04486 (CVE-2024-24790)

Уязвимость компонента net-netip языка программирования Golang, связанная с неправильным контролем доступа, позволяющая нарушителю обойти существующую политику ограничения доступа
Опубликовано: 2024-06-13
Описание

Уязвимость компонента net-netip языка программирования Golang связана с некорректной работой методов Is (IsPrivate, IsLoopback и т. д.). Эксплуатация уязвимости может позволить нарушителю обойти существующую политику ограничения доступа

Затрагиваемое ПО и версии
Ubuntu (16.04 LTS)Ubuntu (18.04 LTS)OpenSUSE Leap (15.5)Red Hat Enterprise Linux (8)Suse Linux Enterprise Server (12 SP5)SUSE Linux Enterprise Server for SAP Applications (12 SP5)SUSE Linux Enterprise Software Development Kit (12 SP5)openSUSE TumbleweedRed Hat Storage (3)Ubuntu (20.04 LTS)Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)SUSE Linux Enterprise Server for SAP Applications (15 SP3)SUSE Linux Enterprise Server for SAP Applications (15 SP2)SUSE Linux Enterprise High Performance Computing (15 SP2-LTSS)Red Hat Advanced Cluster Management for Kubernetes (2)Red Hat OpenShift Container Platform (4)SUSE Linux Enterprise Server for SAP Applications (15 SP4)Ubuntu (22.04 LTS)Red Hat Enterprise Linux (9)Suse Linux Enterprise Server (15 SP2-LTSS)Red Hat OpenStack Platform (16.2)SUSE Enterprise Storage (7.1)Red Hat Web TerminalNode Maintenance OperatorOpenShift Developer Tools and ServicesSuse Linux Enterprise Server (15 SP3-LTSS)SUSE Linux Enterprise High Performance Computing (15 SP3-LTSS)Red Hat Ceph Storage (5)
Способ устранения

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций:
Для Go:
https://go.dev/cl/590316
https://go.dev/issue/67680
https://groups.google.com/g/golang-announce/c/XbxouI9gY7k/m/TuoGEhxIEwAJ
https://pkg.go.dev/vuln/GO-2024-2887

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2024-24790

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-24790

Для Ubuntu:
https://ubuntu.com/security/CVE-2024-24790

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2024-24790.html

Оценка CVSS
Балл5.2 — средняя опасность
Источники и патчи
https://go.dev/cl/590316https://go.dev/issue/67680https://groups.google.com/g/golang-announce/c/XbxouI9gY7k/m/TuoGEhxIEwAJhttps://pkg.go.dev/vuln/GO-2024-2887https://redos.red-soft.ru/support/secure/https://www.suse.com/security/cve/CVE-2024-24790.htmlhttps://security-tracker.debian.org/tracker/CVE-2024-24790https://ubuntu.com/security/CVE-2024-24790
Проверьте безопасность своего сайта и почты → Полная проверка домена