Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

BDU:2023-06579

CVSS: 3.7

11.10.2023

Уязвимость функции curl_easy_duphandle библиотеки libcurl, позволяющая нарушителю создать или перезаписать файлы cookie

Уязвимость функции curl_easy_duphandle библиотеки libcurl связана с внешним управлением именем или путем файла. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, создать или перезаписать файлы cookie

Статус уязвимости:	Подтверждена производителем Уязвимость устранена
Дата выявления:	11.10.2023
Класс уязвимости:	Уязвимость кода
Наличие эксплойта:	Существует в открытом доступе
Способ эксплуатации:	Манипулирование ресурсами
Способ устранения:	Нет данных
Меры по устранению:	Использование рекомендаций: Для libcurl: hhtps://github.com/curl/curl/commit/61275672b46d9abb32857404 https://curl.se/docs/CVE-2023-38546.html Для UBLinux: https://security.ublinux.ru/CVE-2023-38546 Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Для продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2023-38546 Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2023-38546 Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства Для ОСОН ОСнова Оnyx: Обновление программного обеспечения curl до версии 7.88.1-10+deb12u4osnova1 Для ОС Astra Linux Special Edition 1.7 архитектуры x86-64: обновить пакет curl до 7.64.0-4+deb10u5+astra6 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0212SE17 Для Astra Linux Special Edition 4.7 для архитектуры ARM: обновить пакет curl до 7.68.0-1ubuntu2.22+astra1+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47 Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2748

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE

Идентификатор	Описание
CWE-73	Внешнее управление именем или путем файла

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
CVE-2023-38546	This flaw allows an attacker to insert cookies at will into a running program using libcurl, if the specific series of condit...

CVSS

Система общей оценки уязвимостей

Оценка	Severity	Версия	Базовый вектор
2.6	LOW	2.0	AV:N/AC:H/Au:N/C:N/I:P/A:N
3.7	LOW	3.0	AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N

Идентификаторы других систем описаний уязвимостей

CVE-2023-38546

Вендор:	Red Hat Inc. Сообщество свободного программного обеспечения ООО «Ред Софт» ООО «РусБИТех-Астра» АО «ИВК» ООО «Юбитех» АО «НТЦ ИТ РОСА» Дэниел Стенберг АО "НППКТ"
Тип ПО:	Операционная система Микропрограммный код аппаратных компонент компьютера Прикладное ПО информационных систем
Наименование ПО:	Red Hat Enterprise Linux Debian GNU/Linux РЕД ОС Astra Linux Special Edition Альт 8 СП UBLinux ROSA Virtualization Red Hat JBoss Core Services Libcurl ОСОН ОСнова Оnyx
Версия ПО:	8 (Red Hat Enterprise Linux) 10 (Debian GNU/Linux) 11 (Debian GNU/Linux) 12 (Debian GNU/Linux) 7.3 (РЕД ОС) 1.7 (Astra Linux Special Edition) - (Альт 8 СП) 9 (Red Hat Enterprise Linux) 4.7 (Astra Linux Special Edition) до 2204 (UBLinux) 9.0 Extended Update Support (Red Hat Enterprise Linux) 2.1 (ROSA Virtualization) - (Red Hat JBoss Core Services) от 7.9.1 до 8.3.0 включительно (Libcurl) до 2.9 (ОСОН ОСнова Оnyx)
ОС и аппаратные платформы:	Red Hat Enterprise Linux (8) Debian GNU/Linux (10) Debian GNU/Linux (11) Debian GNU/Linux (12) РЕД ОС (7.3) Astra Linux Special Edition (1.7) Альт 8 СП (-) Red Hat Enterprise Linux (9) Astra Linux Special Edition (4.7) UBLinux (до 2204) Red Hat Enterprise Linux (9.0 Extended Update Support) ROSA Virtualization (2.1) ОСОН ОСнова Оnyx (до 2.9)
Ссылки на источники:	https://github.com/curl/curl/commit/61275672b46d9abb32857404 https://curl.se/docs/CVE-2023-38546.html https://security.ublinux.ru/CVE-2023-38546 https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-curl-cve-2023-38546-cve-2023-38545/?sphr... https://security-tracker.debian.org/tracker/CVE-2023-38546 https://altsp.su/obnovleniya-bezopasnosti/ https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.9/ https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0212SE17 https://media.defense.gov/2024/Oct/09/2003562611/-1/-1/0/CSA-UPDATE-ON-SVR-CYBER-OPS.PDF https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47 https://abf.rosa.ru/advisories/ROSA-SA-2025-2748

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.

Каталог уязвимостей - БДУ ФСТЭК - BDU:2023-06579