Куда я попал?
BDU:2023-06579
CVSS: 3.7
11.10.2023
Уязвимость функции curl_easy_duphandle библиотеки libcurl, позволяющая нарушителю создать или перезаписать файлы cookie
Уязвимость функции curl_easy_duphandle библиотеки libcurl связана с внешним управлением именем или путем файла. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, создать или перезаписать файлы cookie
Статус уязвимости: |
Подтверждена производителем
Уязвимость устранена
|
Дата выявления: | 11.10.2023 |
Класс уязвимости: | Уязвимость кода |
Наличие эксплойта: | Существует в открытом доступе |
Способ эксплуатации: | Манипулирование ресурсами |
Способ устранения: | Нет данных |
Меры по устранению: | Использование рекомендаций: Для libcurl: hhtps://github.com/curl/curl/commit/61275672b46d9abb32857404 https://curl.se/docs/CVE-2023-38546.html Для UBLinux: https://security.ublinux.ru/CVE-2023-38546 Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Для продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2023-38546 Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2023-38546 Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства Для ОСОН ОСнова Оnyx: Обновление программного обеспечения curl до версии 7.88.1-10+deb12u4osnova1 Для ОС Astra Linux Special Edition 1.7 архитектуры x86-64: обновить пакет curl до 7.64.0-4+deb10u5+astra6 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0212SE17 Для Astra Linux Special Edition 4.7 для архитектуры ARM: обновить пакет curl до 7.68.0-1ubuntu2.22+astra1+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47 Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2748 |
Идентификатор типа ошибки
Идентификатор, установленный в соответствии с общим перечнем ошибок CWE
Идентификатор | Описание |
---|---|
CWE-73 | Внешнее управление именем или путем файла |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
Идентификатор | Описание |
---|---|
CVE-2023-38546 | This flaw allows an attacker to insert cookies at will into a running program using libcurl, if the specific series of condit... |
CVSS
Система общей оценки уязвимостей
Оценка | Severity | Версия | Базовый вектор |
---|---|---|---|
2.6 | LOW | 2.0 | AV:N/AC:H/Au:N/C:N/I:P/A:N |
3.7 | LOW | 3.0 | AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N |
Идентификаторы других систем описаний уязвимостей
CVE-2023-38546
Вендор: |
|
Тип ПО: |
|
Наименование ПО: |
|
Версия ПО: |
|
ОС и аппаратные платформы: |
|
Ссылки на источники: |
|
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.