ГлавнаяБаза уязвимостей БДУ → BDU:2024-05176
7.6высокая

BDU:2024-05176 (CVE-2024-4741)

Уязвимость функции SSL_free_buffers() криптографической библиотеки OpenSSL, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании
Опубликовано: 2024-07-10
Описание

Уязвимость функции SSL_free_buffers() криптографической библиотеки OpenSSL связана с использованием памяти после ее освобождения. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код или вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Astra Linux Common Edition (1.6 «Смоленск»)АЛЬТ СП 10OpenSSL (от 3.0.0 до 3.0.14)OpenSSL (от 3.1.0 до 3.1.6)OpenSSL (от 3.2.0 до 3.2.2)OpenSSL (от 3.3.0 до 3.3.1)OpenSSL (от 1.1.1 до 1.1.1y)ОСОН ОСнова Оnyx (до 2.12)ПАК КЦПС (DSC-01R) (1.8.4)
Способ устранения

Использование рекомендаций:
Для OpenSSL:
https://www.openssl.org/news/secadv/20240528.txt
https://github.com/openssl/openssl/commit/b3f0eb0a295f58f16ba43ba99dad70d4ee5c437d
https://github.com/openssl/openssl/commit/c88c3de51020c37e8706bf7a682a162593053aac
https://github.com/openssl/openssl/commit/c1bd38a003fa19fd0d8ade85e1bbc20d8ae59dab

Для Ред ОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-4741

Для ОС АЛЬТ 8 СП (Релиз 10): установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Обновление программного обеспечения openssl до версии 1.1.1w-0+deb11u2

Для ОС Astra Linux:
обновить пакет openssl до 1.1.1w-0+deb11u2-astra9 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17

Для ОС Astra Linux:
обновить пакет openssl до 1.1.1w-0+deb11u2-astra9 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47

Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-edk2-tools-cve-2024-9143-cve-2024-4741-cve-2025-2295/?sphrase_id=1334551

Для ОС Astra Linux:
обновить пакет openssl до 1.1.1w-0+deb11u2-astra10 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16

Оценка CVSS
Балл7.6 — высокая опасность
Источники и патчи
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-openssl3-cve-2024-4741/https://www.openssl.org/news/secadv/20240528.txthttps://github.com/openssl/openssl/commit/b3f0eb0a295f58f16ba43ba99dad70d4ee5c437dhttps://security-tracker.debian.org/tracker/CVE-2024-4741https://vuldb.com/ru/?id.266425https://altsp.su/obnovleniya-bezopasnosti/https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.12/https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17
Проверьте безопасность своего сайта и почты → Полная проверка домена