ГлавнаяБаза уязвимостей БДУ → BDU:2024-07439
7.1высокая

BDU:2024-07439 (CVE-2024-7383)

Уязвимость протокол NBD библиотеки libnbd, связанная с неправильной проверкой сертификата, позволяющая нарушителю раскрыть защищаемую информацию и оказать воздействие на целостность системы
Опубликовано: 2024-09-24
Описание

Уязвимость протокол NBD библиотеки libnbd связана с неправильной проверкой сертификата сервера NBD при использовании TLS для подключения к серверу NBD. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, раскрыть защищаемую информацию и оказать воздействие на целостность системы

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (8)Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)Red Hat Enterprise Linux (8 Advanced Virtualization)Red Hat Enterprise Linux (9)ROSA Virtualization (2.1)Astra Linux Special Edition (1.8)libnbd (от 1.18.0 до 1.21.0 включительно)ROSA Virtualization 3.0 (3.0)
Способ устранения

Для libnbd:
https://gitlab.com/nbdkit/libnbd/-/commit/87ef41b69929d5d293390ec36b1c10aba2c9a57a
https://gitlab.com/nbdkit/libnbd/-/commit/6ed47a27d14f6f11946bb096d94e5bf21d97083d
https://gitlab.com/nbdkit/libnbd/-/commit/5ff09cdbbd19226dd2d5015d76134f88dee9321e
https://gitlab.com/nbdkit/libnbd/-/commit/7a45b5db68c59cc620ba328f0ebec1e7058cd95a
https://gitlab.com/nbdkit/libnbd/-/commit/e62185645c4d1a833d40aa79f3fee4ed477827c2

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-7383

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2024-7383

Для ОС Astra Linux:
обновить пакет libnbd до 1.14.2-1.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0811SE18

Для системы управления средой виртуализации «ROSA Virtualization»:
https://abf.rosa.ru/advisories/ROSA-SA-2025-2956

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»:
https://abf.rosa.ru/advisories/ROSA-SA-2025-2961

Оценка CVSS
Балл7.1 — высокая опасность
Источники и патчи
https://gitlab.com/nbdkit/libnbd/-/commit/5ff09cdbbd19226dd2d5015d76134f88dee9321ehttps://gitlab.com/nbdkit/libnbd/-/commit/6ed47a27d14f6f11946bb096d94e5bf21d97083dhttps://gitlab.com/nbdkit/libnbd/-/commit/7a45b5db68c59cc620ba328f0ebec1e7058cd95ahttps://gitlab.com/nbdkit/libnbd/-/commit/87ef41b69929d5d293390ec36b1c10aba2c9a57ahttps://gitlab.com/nbdkit/libnbd/-/commit/e62185645c4d1a833d40aa79f3fee4ed477827c2https://redos.red-soft.ru/support/secure/https://security-tracker.debian.org/tracker/CVE-2024-7383https://access.redhat.com/security/cve/CVE-2024-7383
Проверьте безопасность своего сайта и почты → Полная проверка домена