ГлавнаяБаза уязвимостей БДУ → BDU:2024-06486
10критическая

BDU:2024-06486

Уязвимость SLP UDP-сервера slpd-lite операционной системы OpenBMC, позволяющая нарушителю оказать влияние на конфиденциальность, целостность и доступность
Опубликовано: 2024-08-26
Описание

Уязвимость SLP UDP-сервера slpd-lite операционной системы OpenBMC связана с копированием буфера без проверки размера входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать влияние на конфиденциальность, целостность и доступность путём отправки специально сформированного slp-пакета

Затрагиваемое ПО и версии
OpenBMCslpd-lite
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа;
- ограничение возможности отправки slp-пакетов по 427 UDP-порту;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Использование рекомендаций производителя:
https://github.com/openbmc/slpd-lite/commit/20bab74865ba955921eb0e4e427c84e37e1c8916

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://github.com/openbmc/slpd-lite/commit/20bab74865ba955921eb0e4e427c84e37e1c8916https://github.com/openbmc/slpd-lite/security/advisories/GHSA-wmgv-jffg-v3xr
Проверьте безопасность своего сайта и почты → Полная проверка домена