Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

BDU:2023-07689

CVSS: 6.5

23.02.2023

Уязвимость реализации механизмов "цепочной" компрессии HTTP утилиты командной строки cURL, позволяющая нарушителю вызвать отказ в обслуживании

Уязвимость реализации механизмов "цепочной" компрессии HTTP утилиты командной строки cURL связана с возможностью осуществить бесконечное число шагов декомпрессии HTTP-ответов сервера, что приведет к бесконтрольному потреблению памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Статус уязвимости:	Подтверждена производителем Уязвимость устранена
Дата выявления:	23.02.2023
Класс уязвимости:	Уязвимость кода
Наличие эксплойта:	Существует в открытом доступе
Способ эксплуатации:	Манипулирование ресурсами
Способ устранения:	Нет данных
Меры по устранению:	Использование рекомендаций: Для CURL: https://curl.se/docs/CVE-2023-23916.html Для Debian GNU/Linux: https://www.debian.org/security/2023/dsa-5365 Для программных продуктов NetApp Inc: https://security.netapp.com/advisory/ntap-20230309-0006/ Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/BQKE6TXYDHOTFHLTBZ5X73GTKI7II5KO/ Для ОС Аврора: https://cve.omp.ru/bb23402 Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства Для ОСОН ОСнова Оnyx: Обновление программного обеспечения curl до версии 7.88.1-10+deb12u1 Для ОС Astra Linux Special Edition 1.7: обновить пакет curl до 7.64.0-4+deb10u5+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE

Идентификатор	Описание
CWE-770	CWE-770 Allocation of Resources Without Limits or Throttling

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
CVE-2023-23916	An allocation of resources without limits or throttling vulnerability exists in curl <v7.88.0 based on the "chained" HTTP com...

CVSS

Система общей оценки уязвимостей

Оценка	Severity	Версия	Базовый вектор
7.8	HIGH	2.0	AV:N/AC:L/Au:N/C:N/I:N/A:C
6.5	MEDIUM	3.0	AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

Идентификаторы других систем описаний уязвимостей

CVE-2023-23916

Вендор:	Сообщество свободного программного обеспечения ООО «РусБИТех-Астра» АО «ИВК» NetApp Inc. Fedora Project АО "НППКТ" Дэниел Стенберг ООО «Открытая мобильная платформа»
Тип ПО:	Операционная система Прикладное ПО информационных систем ПО программно-аппаратного средства АСУ ТП Программное средство защиты
Наименование ПО:	Debian GNU/Linux Astra Linux Special Edition Альт 8 СП Active IQ Unified Manager for VMware vSphere Fedora NetApp HCI Baseboard Management Controller H300S NetApp HCI Baseboard Management Controller H500S NetApp HCI Baseboard Management Controller H700S NetApp HCI Baseboard Management Controller H410S ОСОН ОСнова Оnyx NetApp SolidFire & HCI Storage Node cURL NetApp SolidFire & HCI Management Node Clustered Data ONTAP Antivirus Connector ОС Аврора
Версия ПО:	9 (Debian GNU/Linux) 10 (Debian GNU/Linux) 1.7 (Astra Linux Special Edition) - (Альт 8 СП) - (Active IQ Unified Manager for VMware vSphere) 36 (Fedora) - (NetApp HCI Baseboard Management Controller H300S) - (NetApp HCI Baseboard Management Controller H500S) - (NetApp HCI Baseboard Management Controller H700S) - (NetApp HCI Baseboard Management Controller H410S) до 2.8 (ОСОН ОСнова Оnyx) - (NetApp SolidFire & HCI Storage Node) от 7.57.0 до 7.88.0 (cURL) - (NetApp SolidFire & HCI Management Node) 9 (Clustered Data ONTAP Antivirus Connector) до 4.0.2.249 включительно (ОС Аврора)
ОС и аппаратные платформы:	Debian GNU/Linux (9) Debian GNU/Linux (10) Astra Linux Special Edition (1.7) Альт 8 СП (-) Fedora (36) ОСОН ОСнова Оnyx (до 2.8) ОС Аврора (до 4.0.2.249 включительно)
Ссылки на источники:	https://curl.se/docs/CVE-2023-23916.html https://hackerone.com/reports/1826048 https://lists.debian.org/debian-lts-announce/2023/02/msg00035.html https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/BQKE6TXYDHOTFHLTBZ5X73G... https://security.gentoo.org/glsa/202310-12 https://security.netapp.com/advisory/ntap-20230309-0006/ https://www.debian.org/security/2023/dsa-5365 https://altsp.su/obnovleniya-bezopasnosti/ https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.8/

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.

Каталог уязвимостей - БДУ ФСТЭК - BDU:2023-07689