ГлавнаяБаза уязвимостей БДУ → BDU:2024-05605
4.6средняя

BDU:2024-05605 (CVE-2024-35235)

Уязвимость сервера печати CUPS, связанная с неверным определением символических ссылок перед доступом к файлу, позволяющая нарушителю получить доступ к конфиденциальным данным
Опубликовано: 2024-07-23
Описание

Уязвимость сервера печати CUPS связана с неверным определением символических ссылок перед доступом к файлу. Эксплуатация уязвимости может позволить нарушителю получить доступ к конфиденциальным данным при запуске сервера cupsd с конфигурационным элементом Listen

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Debian GNU/Linux (11)Debian GNU/Linux (12)Astra Linux Special Edition (1.7)Red Hat Enterprise Linux (9)Astra Linux Special Edition (4.7)ROSA Virtualization (2.1)CUPS (до 2.4.9-alt1)ОСОН ОСнова Оnyx (до 2.11)ROSA Virtualization 3.0 (3.0)
Способ устранения

Использование рекомендаций:
Для CUPS:
https://github.com/OpenPrinting/cups/commit/a436956f374b0fd7f5da9df482e4f5840fa1c0d2

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-35235

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2024-35235

Для ОСОН ОСнова Оnyx (2.11):
Обновление программного обеспечения cups до версии 2.2.10-6.osnova43

Для Astra Linux Special Edition 1.7:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17

Для Astra Linux Special Edition 1.6 «Смоленск»::
обновить пакет cups до 2.2.13-1astra.se35 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет cups до 2.3.3op2-4astra.se37 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Для ОС Astra Linux:
обновить пакет cups до 2.2.13-1astra.se35 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20241206SE81

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2024-2496

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2735

Оценка CVSS
Балл4.6 — средняя опасность
Источники и патчи
https://packages.altlinux.org/ru/vuln/CVE-2024-35235https://security-tracker.debian.org/tracker/CVE-2024-35235https://access.redhat.com/security/cve/cve-2024-35235http://www.openwall.com/lists/oss-security/2024/06/11/1http://www.openwall.com/lists/oss-security/2024/06/12/4http://www.openwall.com/lists/oss-security/2024/06/12/5https://git.launchpad.net/ubuntu/+source/apparmor/tree/profiles/apparmor.d/abstractions/user-tmp#n21https://github.com/OpenPrinting/cups/blob/aba917003c8de55e5bf85010f0ecf1f1ddd1408e/cups/http-addr.c#L229-L240
Проверьте безопасность своего сайта и почты → Полная проверка домена