ГлавнаяБаза уязвимостей БДУ → BDU:2024-07016
7.8высокая

BDU:2024-07016 (CVE-2024-37370)

Уязвимость реализации сетевого протокола аутентификации Kerberos 5, связанная с недостаточной проверкой входных данных, позволяющая нарушителю получить несанкционированный доступ к токену-оболочки GSS krb5
Опубликовано: 2024-09-13
Описание

Уязвимость реализации сетевого протокола аутентификации Kerberos связана с изменением открытого поля Extra Count конфиденциального токена оболочки GSS krb5. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить несанкционированный доступ к токену-оболочки GSS krb5

Затрагиваемое ПО и версии
Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Astra Linux Common Edition (1.6 «Смоленск»)ROSA Virtualization (2.1)АЛЬТ СП 10Astra Linux Special Edition (1.8)Kerberos (до 1.21.3)ROSA Virtualization 3.0 (3.0)
Способ устранения

Для Kerberos:
https://github.com/krb5/krb5/commit/55fbf435edbe2e92dd8101669b1ce7144bc96fef

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-37370

Для ОС Astra Linux:
обновить пакет krb5 до 1.20.1-2+deb12u2astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MD

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для ОС Astra Linux:
обновить пакет krb5 до 1.19.2-2ubuntu0.4astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17

Для ОС Astra Linux:
обновить пакет krb5 до 1.19.2-2ubuntu0.4astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2806

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2879

Для ОС Astra Linux:
обновить пакет krb5 до 1.15.2-2.astra10 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://github.com/krb5/krb5/commit/55fbf435edbe2e92dd8101669b1ce7144bc96fefhttps://redos.red-soft.ru/support/secure/https://security-tracker.debian.org/tracker/CVE-2024-37370https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MDhttps://altsp.su/obnovleniya-bezopasnosti/https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47https://abf.rosa.ru/advisories/ROSA-SA-2025-2806
Проверьте безопасность своего сайта и почты → Полная проверка домена