Уязвимость функции vrrp_ipset_handler (fglobal_parser.c) системы балансировки сетевого трафика Keepalived связана с целочисленным переполнением. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
Использование рекомендаций:
Для Keepalived:
https://github.com/acassen/keepalived/issues/2447
https://github.com/acassen/keepalived/commit/e78513fe0ce5d83c226ea2c0bd222f375c2438e7
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2024-41184.html
Для программных продуктов Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-41184
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Компенсирующие меры:
- запуск keepalived в изолированной среде, такой как контейнеры Docker или виртуальные машины.
- использование механизмов контроля доступа, такие как AppArmor или SELinux, чтобы ограничить возможности программы (например, доступ к файлам или сети);
- использование ASLR (Address Space Layout Randomization);
- установление ограничений на использование памяти и ресурсов для процесса keepalived;
- мониторинг и логирование аномальных действий, таких как попытки доступа к недопустимым адресам памяти или внезапное завершение процесса;
- запуск keepalived от имени пользователя с ограниченными правами.
| Балл | 10 — критическая опасность |