ГлавнаяБаза уязвимостей БДУ → BDU:2024-09106
5.4средняя

BDU:2024-09106 (CVE-2024-9681)

Узвимость реализации механизма HSTS (HTTP Strict Transport Security) утилиты командной строки curl, позволяющая нарушителю проводить атаки типа "человек посередине"
Опубликовано: 2024-11-07
Описание

Узвимость реализации механизма HSTS (HTTP Strict Transport Security) утилиты командной строки curl существует из-за ошибки в реализации кэша HSTS. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, проводить атаки типа "человек посередине"

Затрагиваемое ПО и версии
OpenSUSE Leap (15.5)SUSE Linux Enterprise Server for SAP Applications (12 SP5)SUSE Linux Enterprise Software Development Kit (12 SP5)SUSE Linux Enterprise High Performance Computing (12 SP5)SUSE Linux Enterprise High Performance Computing (15-LTSS)Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)Альт 8 СПSUSE Linux Enterprise Server for SAP Applications (15 SP4)SUSE Manager Retail Branch Server (4.3)SUSE Manager Proxy (4.3)SUSE Manager Server (4.3)SUSE Linux Enterprise Module for Basesystem (15 SP4)SUSE Linux Enterprise Micro (5.3)openSUSE Leap Micro (5.3)SUSE Linux Enterprise Server for SAP Applications (15 SP5)Suse Linux Enterprise Server (15 SP5)Suse Linux Enterprise Desktop (15 SP5)SUSE Linux Enterprise High Performance Computing (15 SP5)SUSE Linux Enterprise Module for Basesystem (15 SP5)SUSE Linux Enterprise Real Time (15 SP4)SUSE Linux Enterprise Micro (5.4)openSUSE Leap Micro (5.4)РОСА ХРОМ (12.4)SUSE Linux Enterprise Micro (5.5)openSUSE Leap Micro (5.5)SUSE Linux Enterprise High Performance Computing (15 SP4-ESPOS)Suse Linux Enterprise Server (15 SP4-LTSS)Suse Linux Enterprise Desktop (15 SP6)
Способ устранения

Использование рекомендаций:

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2024-9681.html

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-9681

Для curl:
https://curl.se/docs/CVE-2024-9681.html
https://curl.se/docs/CVE-2024-9681.json

Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-curl-cve-2024-9681/?sphrase_id=592538

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2569

Обновление программного обеспечения curl до версии 7.88.1-10+deb12u9.osnova2u1



Для ОС Astra Linux:
обновить пакет curl до 7.88.1-10+deb12u9+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18

Для ОСОН ОСнова Оnyx: Обновление программного обеспечения curl до версии 7.88.1-10+deb12u14

Оценка CVSS
Балл5.4 — средняя опасность
Источники и патчи
https://curl.se/docs/CVE-2024-9681.htmlhttps://curl.se/docs/CVE-2024-9681.jsonhttps://hackerone.com/reports/2764830https://www.cybersecurity-help.cz/vdb/SB2024110656https://vuldb.com/ru/?id.283314https://security-tracker.debian.org/tracker/CVE-2024-9681https://www.suse.com/security/cve/CVE-2024-9681.htmlhttps://github.com/curl/curl/commit/a94973805df96269bf
Проверьте безопасность своего сайта и почты → Полная проверка домена