ГлавнаяБаза уязвимостей БДУ → BDU:2024-07005
9.4критическая

BDU:2024-07005 (CVE-2024-37371)

Уязвимость реализации сетевого протокола аутентификации Kerberos 5, связанная с выходом операции за границы буфера в памяти, позволяющая нарушителю оказать воздействие на конфиденциальность и доступность защищаемой информации
Опубликовано: 2024-09-13
Описание

Уязвимость реализации сетевого протокола аутентификации Kerberos связана с вызвать чтением памяти во время обработки токена сообщения GSS. Эксплуатация уязвимости позволяет нарушителю,действующему удаленно, оказать воздействие на конфиденциальность и доступность защищаемой информации

Затрагиваемое ПО и версии
Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Astra Linux Common Edition (1.6 «Смоленск»)ROSA Virtualization (2.1)АЛЬТ СП 10Astra Linux Special Edition (1.8)Kerberos (до 1.21.3)ROSA Virtualization 3.0 (3.0)
Способ устранения

Для Kerberos:
https://github.com/krb5/krb5/commit/55fbf435edbe2e92dd8101669b1ce7144bc96fef

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-37371

Для ОС Astra Linux:
обновить пакет krb5 до 1.20.1-2+deb12u2astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MD

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для ОС Astra Linux:
обновить пакет krb5 до 1.19.2-2ubuntu0.4astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17

Для ОС Astra Linux:
обновить пакет krb5 до 1.19.2-2ubuntu0.4astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2806

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2879

Для ОС Astra Linux:
обновить пакет krb5 до 1.15.2-2.astra10 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16

Оценка CVSS
Балл9.4 — критическая опасность
Источники и патчи
https://github.com/krb5/krb5/commit/55fbf435edbe2e92dd8101669b1ce7144bc96fefhttps://redos.red-soft.ru/support/secure/https://security-tracker.debian.org/tracker/CVE-2024-37371https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MDhttps://altsp.su/obnovleniya-bezopasnosti/https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47https://abf.rosa.ru/advisories/ROSA-SA-2025-2806
Проверьте безопасность своего сайта и почты → Полная проверка домена