9.4критическая
BDU:2024-10793 (CVE-2022-23806)
Уязвимость компонента Curve.IsOnCurve языка программирования Golang, позволяющая нарушителю оказывать влияние на доступность и целостность ресурса
Опубликовано: 2024-12-05
Описание
Уязвимость компонента Curve.IsOnCurve языка программирования Golang связана с некорректной проверкой возвращаемого значения метода или функции. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказывать влияние на доступность и целостность ресурса
Затрагиваемое ПО и версии
Debian GNU/Linux (9)SUSE Linux Enterprise High Performance Computing (12)Red Hat Enterprise Linux (8)Debian GNU/Linux (10)SUSE Enterprise Storage (6)Red Hat Ceph Storage (3)Red Hat Storage (3)OpenShift Container Platform (4)Red Hat Quay (3)Debian GNU/Linux (11)РЕД ОС (7.3)SUSE Linux Enterprise High Performance Computing (15 SP3)SUSE Enterprise Storage (7)SUSE Linux Enterprise High Performance Computing (15 SP2-ESPOS)SUSE Linux Enterprise High Performance Computing (15 SP2-LTSS)Red Hat Advanced Cluster Management for Kubernetes (2)OpenShift Container Platform (4.10)Go (до 1.16.14)Go (от 1.17.0 до 1.17.7)Red Hat OpenStack Platform (16.2)SUSE Enterprise Storage (7.1)SUSE Linux Enterprise High Performance Computing (15 SP1)Service Telemetry Framework (1.3 for RHEL 8)Service Telemetry Framework (1.4 for RHEL 8)OpenShift Container Platform (4.11)OpenShift Developer Tools and ServicesОСОН ОСнова Оnyx (до 2.6)Red Hat OpenStack Platform (16.1)Red Hat OpenShift Virtualization (4)OpenShift Serverless
Способ устранения
В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Использование рекомендаций:
Для Golang:
https://groups.google.com/g/golang-announce/c/SUsQn0aSgPQ
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-23806
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-23806
Для Ubuntu:
https://ubuntu.com/security/CVE-2022-23806
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-23806.html
Обновление программного обеспечения golang-1.15 до версии 1.15.9-3.osnova6
Оценка CVSS
| Балл | 9.4 — критическая опасность |
Источники и патчи