ГлавнаяБаза уязвимостей БДУ → BDU:2024-05602
5.4средняя

BDU:2024-05602 (CVE-2024-3049)

Уязвимость функции gcry_md_get_algo_dlen() программного обеспечения управления и мониторинга кластеров высокой доступности ClusterLabs Booth, позволяющая нарушителю принять недопустимый HMAC
Опубликовано: 2024-07-23
Описание

Уязвимость функции gcry_md_get_algo_dlen() программного обеспечения управления и мониторинга кластеров высокой доступности ClusterLabs Booth связана с недостаточной проверкой подлинности данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, принять недопустимый HMAC

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Red Hat Enterprise Linux (8)Red Hat Enterprise Linux (9)Fedora (39)Fedora (40)Booth (до 1.1)Red Hat Enterprise Linux EUS (8.4)Red Hat Enterprise Linux EUS (8.8)Red Hat Enterprise Linux EUS (9.2)Red Hat Enterprise Linux for IBM zsystems (8.0)Red Hat Enterprise Linux for IBM zsystems (9.2)Red Hat Enterprise Linux for IBM zsystems (9.4)Red Hat Enterprise Linux for ARM64 (8.0)Red Hat Enterprise Linux for ARM64 (8.8)Red Hat Enterprise Linux for ARM64 (9.2)Red Hat Enterprise Linux for ARM64 (9.4)Red Hat Enterprise Linux for Power Little Endian EUS (8.0)Red Hat Enterprise Linux for Power Little Endian EUS (8.4)Red Hat Enterprise Linux for Power Little Endian EUS (8.8)Red Hat Enterprise Linux for Power Little Endian EUS (9.2)Red Hat Enterprise Linux for Power Little Endian EUS (9.4)Red Hat Enterprise Linux Server Update Services for SAP Solutions (8.4)
Способ устранения

Использование рекомендаций:
Для ClusterLabs Booth:
https://github.com/ClusterLabs/booth/pull/142
https://github.com/ClusterLabs/booth/commit/98b4284d1701f2efec278b51f151314148bfe70e
https://github.com/ClusterLabs/booth/commit/43eaf0e82b1475a6a5322881cbd8260b6c3f5ef8

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/errata/RHSA-2024:3657
https://access.redhat.com/errata/RHSA-2024:3658
https://access.redhat.com/errata/RHSA-2024:3659
https://access.redhat.com/errata/RHSA-2024:3660
https://access.redhat.com/errata/RHSA-2024:3661
https://access.redhat.com/security/cve/CVE-2024-3049
https://bugzilla.redhat.com/show_bug.cgi?id=2272082

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ERCFM3HXFJKLEMMWU3CZLPKH5LZAEDAN/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/KPK5BHYOB7CFFRQAN55YV5LH44PWHMQD/

Оценка CVSS
Балл5.4 — средняя опасность
Источники и патчи
https://access.redhat.com/errata/RHSA-2024:3657https://access.redhat.com/errata/RHSA-2024:3658https://access.redhat.com/errata/RHSA-2024:3659https://access.redhat.com/errata/RHSA-2024:3660https://access.redhat.com/errata/RHSA-2024:3661https://access.redhat.com/security/cve/CVE-2024-3049https://bugzilla.redhat.com/show_bug.cgi?id=2272082https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ERCFM3HXFJKLEMMWU3CZLPKH5LZAEDAN/
Проверьте безопасность своего сайта и почты → Полная проверка домена