ГлавнаяБаза уязвимостей БДУ → BDU:2024-10463
5.1средняя

BDU:2024-10463 (CVE-2024-10524)

Уязвимость менеджера загрузок GNU Wget, связанная с недостаточной проверкой запросов на стороне сервера, позволяющая нарушителю осуществить SSRF-атаку, фишинговую атаку или атаку типа «человек по середине»
Опубликовано: 2024-11-29
Описание

Уязвимость менеджера загрузок GNU Wget связана с недостаточной проверкой запросов на стороне сервера. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществить SSRF-атаку, фишинговую атаку или атаку типа «человек по середине»

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (8)openSUSE TumbleweedDebian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)Red Hat Enterprise Linux (9)АЛЬТ СП 10Wget (до 1.25.0)
Способ устранения

Использование рекомендаций:
Для Wget:
https://git.savannah.gnu.org/cgit/wget.git/commit/?id=c419542d956a2607bbce5df64b9d378a8588d778

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2024-10524

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-10524

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2024-10524.html

Для Ред ОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Компенсирующие меры:
- отключение неиспользуемых учетных записей, а также учетных записей недоверенных пользователей;
- принудительная смена паролей пользователей;
- ограничение доступа к командной строке для недоверенных пользователей;
- использование антивирусных средств защиты;
- мониторинг действий пользователей.

Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Оценка CVSS
Балл5.1 — средняя опасность
Источники и патчи
https://git.savannah.gnu.org/cgit/wget.git/commit/?id=c419542d956a2607bbce5df64b9d378a8588d778https://access.redhat.com/security/cve/CVE-2024-10524https://security-tracker.debian.org/tracker/CVE-2024-10524https://www.suse.com/security/cve/CVE-2024-10524.htmlhttps://www.openwall.com/lists/oss-security/2024/11/18/6https://jfrog.com/blog/cve-2024-10524-wget-zero-day-vulnerability/https://seclists.org/oss-sec/2024/q4/107https://vuldb.com/?id.285127
Проверьте безопасность своего сайта и почты → Полная проверка домена