ГлавнаяБаза уязвимостей БДУ → BDU:2024-11106
9.4критическая

BDU:2024-11106 (CVE-2024-11053)

Уязвимость обработчика netrc-файлов утилиты командной строки cURL, позволяющая нарушителю получить доступ к учётным данным
Опубликовано: 2024-12-16
Описание

Уязвимость обработчика netrc-файлов утилиты командной строки cURL связана с недостаточной защитой служебных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к учётным данным при условии HTTP-перенаправления на другой ресурс

Затрагиваемое ПО и версии
Debian GNU/Linux (11)Debian GNU/Linux (12)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Альт 8 СПРОСА ХРОМ (12.4)Astra Linux Special Edition (1.8)cURL (от 6.5 до 8.11.1)ОСОН ОСнова Оnyx (до 2.13)РЕД ОС (8.0)Astra Linux Special Edition (3.8)ОСОН ОСнова Оnyx (до 3.1)Database Server (до 19.27 (Patch 37591516))Database Server (до 19.27 (Patch 37591483))
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование «белого» списка IP-адресов для организации удалённого доступа к хостовой операционной системе;
- использование средств межсетевого экранирования уровня веб-приложений для предотвращения попыток эксплуатации уязвимости;
- использование виртуальных частных сетей для организации удаленного доступа (VPN);
- мониторинг HTTP-запросов;
- отключение функционала использования netrc-файлов в сочетании с перенаправлением на другие ресурсы.

Использование рекомендаций:
Для cURL:
https://curl.se/docs/CVE-2024-11053.html
https://curl.se/docs/CVE-2024-11053.json

Для Debian GNU Linux:
https://security-tracker.debian.org/tracker/CVE-2024-11053

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Обновление программного обеспечения curl до версии 7.88.1-10+deb12u12~osnova2u1

Для ОС Astra Linux:
обновить пакет curl до 7.88.1-10+deb12u10.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0811SE18

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2997

Для ОС Astra Linux:
обновить пакет curl до 7.88.1-10+deb12u10.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17

Для ОС Astra Linux:
обновить пакет curl до 7.88.1-10+deb12u10.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47

Для ОС Astra Linux:
обновить пакет curl до 7.88.1-10+deb12u15.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se38-bulletin-2026-0126SE38

Для ОС Astra Linux:
обновить пакет curl до 7.88.1-10+deb12u15.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se38-bulletin-2026-0126SE38

Для ОСОН ОСнова Оnyx: Обновление программного обеспечения curl до версии 7.88.1-10+deb12u14

Для программных продуктов Oracle Corp.:
https://support.oracle.com/signin/?kmContentId=2927522

Для Ред ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti-red-os-8-0/uyazvimost-curl-cve-2024-11053-8.0/?sphrase_id=1458923

Оценка CVSS
Балл9.4 — критическая опасность
Источники и патчи
http://www.openwall.com/lists/oss-security/2024/12/11/1https://curl.se/docs/CVE-2024-11053.htmlhttps://curl.se/docs/CVE-2024-11053.jsonhttps://hackerone.com/reports/2829063https://security-tracker.debian.org/tracker/CVE-2024-11053https://altsp.su/obnovleniya-bezopasnosti/https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.13/https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0811SE18
Проверьте безопасность своего сайта и почты → Полная проверка домена