5.4средняя
BDU:2024-09106 (CVE-2024-9681)
Узвимость реализации механизма HSTS (HTTP Strict Transport Security) утилиты командной строки curl, позволяющая нарушителю проводить атаки типа "человек посередине"
Опубликовано: 2024-11-07
Описание
Узвимость реализации механизма HSTS (HTTP Strict Transport Security) утилиты командной строки curl существует из-за ошибки в реализации кэша HSTS. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, проводить атаки типа "человек посередине"
Затрагиваемое ПО и версии
OpenSUSE Leap (15.5)SUSE Linux Enterprise Server for SAP Applications (12 SP5)SUSE Linux Enterprise Software Development Kit (12 SP5)SUSE Linux Enterprise High Performance Computing (12 SP5)SUSE Linux Enterprise High Performance Computing (15-LTSS)Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)Альт 8 СПSUSE Linux Enterprise Server for SAP Applications (15 SP4)SUSE Manager Retail Branch Server (4.3)SUSE Manager Proxy (4.3)SUSE Manager Server (4.3)SUSE Linux Enterprise Module for Basesystem (15 SP4)SUSE Linux Enterprise Micro (5.3)openSUSE Leap Micro (5.3)SUSE Linux Enterprise Server for SAP Applications (15 SP5)Suse Linux Enterprise Server (15 SP5)Suse Linux Enterprise Desktop (15 SP5)SUSE Linux Enterprise High Performance Computing (15 SP5)SUSE Linux Enterprise Module for Basesystem (15 SP5)SUSE Linux Enterprise Real Time (15 SP4)SUSE Linux Enterprise Micro (5.4)openSUSE Leap Micro (5.4)РОСА ХРОМ (12.4)SUSE Linux Enterprise Micro (5.5)openSUSE Leap Micro (5.5)SUSE Linux Enterprise High Performance Computing (15 SP4-ESPOS)Suse Linux Enterprise Server (15 SP4-LTSS)Suse Linux Enterprise Desktop (15 SP6)
Способ устранения
Использование рекомендаций:
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2024-9681.html
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-9681
Для curl:
https://curl.se/docs/CVE-2024-9681.html
https://curl.se/docs/CVE-2024-9681.json
Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-curl-cve-2024-9681/?sphrase_id=592538
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2569
Обновление программного обеспечения curl до версии 7.88.1-10+deb12u9.osnova2u1
Для ОС Astra Linux:
обновить пакет curl до 7.88.1-10+deb12u9+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18
Для ОСОН ОСнова Оnyx: Обновление программного обеспечения curl до версии 7.88.1-10+deb12u14
Оценка CVSS
| Балл | 5.4 — средняя опасность |
Источники и патчи