Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

BDU:2023-06579

CVSS: 3.7
11.10.2023

Уязвимость функции curl_easy_duphandle библиотеки libcurl, позволяющая нарушителю создать или перезаписать файлы cookie

Уязвимость функции curl_easy_duphandle библиотеки libcurl связана с внешним управлением именем или путем файла. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, создать или перезаписать файлы cookie
Статус уязвимости:
Подтверждена производителем
Уязвимость устранена
Дата выявления: 11.10.2023
Класс уязвимости: Уязвимость кода
Наличие эксплойта: Существует в открытом доступе
Способ эксплуатации: Манипулирование ресурсами
Способ устранения: Нет данных
Меры по устранению: Использование рекомендаций:
Для libcurl:
hhtps://github.com/curl/curl/commit/61275672b46d9abb32857404
https://curl.se/docs/CVE-2023-38546.html

Для UBLinux:
https://security.ublinux.ru/CVE-2023-38546

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2023-38546

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-38546

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения curl до версии 7.88.1-10+deb12u4osnova1

Для ОС Astra Linux Special Edition 1.7 архитектуры x86-64:
обновить пакет curl до 7.64.0-4+deb10u5+astra6 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0212SE17

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет curl до 7.68.0-1ubuntu2.22+astra1+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2748

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE
Идентификатор Описание
CWE-73 Внешнее управление именем или путем файла

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
Идентификатор Описание
CVE-2023-38546 This flaw allows an attacker to insert cookies at will into a running program using libcurl, if the specific series of condit...

CVSS

Система общей оценки уязвимостей
Оценка Severity Версия Базовый вектор
2.6 LOW 2.0 AV:N/AC:H/Au:N/C:N/I:P/A:N
3.7 LOW 3.0 AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N

Идентификаторы других систем описаний уязвимостей

CVE-2023-38546
Вендор:
  • Red Hat Inc.
  • Сообщество свободного программного обеспечения
  • ООО «Ред Софт»
  • ООО «РусБИТех-Астра»
  • АО «ИВК»
  • ООО «Юбитех»
  • АО «НТЦ ИТ РОСА»
  • Дэниел Стенберг
  • АО "НППКТ"
Тип ПО:
  • Операционная система
  • Микропрограммный код аппаратных компонент компьютера
  • Прикладное ПО информационных систем
Наименование ПО:
  • Red Hat Enterprise Linux
  • Debian GNU/Linux
  • РЕД ОС
  • Astra Linux Special Edition
  • Альт 8 СП
  • UBLinux
  • ROSA Virtualization
  • Red Hat JBoss Core Services
  • Libcurl
  • ОСОН ОСнова Оnyx
Версия ПО:
  • 8 (Red Hat Enterprise Linux)
  • 10 (Debian GNU/Linux)
  • 11 (Debian GNU/Linux)
  • 12 (Debian GNU/Linux)
  • 7.3 (РЕД ОС)
  • 1.7 (Astra Linux Special Edition)
  • - (Альт 8 СП)
  • 9 (Red Hat Enterprise Linux)
  • 4.7 (Astra Linux Special Edition)
  • до 2204 (UBLinux)
  • 9.0 Extended Update Support (Red Hat Enterprise Linux)
  • 2.1 (ROSA Virtualization)
  • - (Red Hat JBoss Core Services)
  • от 7.9.1 до 8.3.0 включительно (Libcurl)
  • до 2.9 (ОСОН ОСнова Оnyx)
ОС и аппаратные платформы:
  • Red Hat Enterprise Linux (8)
  • Debian GNU/Linux (10)
  • Debian GNU/Linux (11)
  • Debian GNU/Linux (12)
  • РЕД ОС (7.3)
  • Astra Linux Special Edition (1.7)
  • Альт 8 СП (-)
  • Red Hat Enterprise Linux (9)
  • Astra Linux Special Edition (4.7)
  • UBLinux (до 2204)
  • Red Hat Enterprise Linux (9.0 Extended Update Support)
  • ROSA Virtualization (2.1)
  • ОСОН ОСнова Оnyx (до 2.9)
Ссылки на источники:

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.