Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

BDU:2023-09013

CVSS: 7.5

09.11.2023

Уязвимость пакета filepath языка программирования Go, позволяющая нарушителю раскрыть защищаемую информацию

Уязвимость пакета filepath языка программирования Go связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, раскрыть защищаемую информацию

Статус уязвимости:	Подтверждена производителем Уязвимость устранена
Дата выявления:	09.11.2023
Класс уязвимости:	Уязвимость кода
Наличие эксплойта:	Данные уточняются
Способ эксплуатации:	Манипулирование ресурсами
Способ устранения:	Нет данных
Меры по устранению:	Компенсирующие меры: - отключение/удаление неиспользуемых учетных записей пользователей; - минимизация пользовательских привилегий; - использование антивирусных средств защиты; - контроль действий пользователей. Использование рекомендаций: Для Go: https://go.dev/cl/540277 https://go.dev/issue/63713 https://pkg.go.dev/vuln/GO-2023-2185 Для программных продуктов NetApp Inc.: https://security.netapp.com/advisory/ntap-20231214-0008/ Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2023-45283 Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2023-45283.html Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE

Идентификатор	Описание
CWE-22	Некорректные ограничения путей для каталогов (выход за пределы каталога)

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
CVE-2023-45283	Insecure parsing of Windows paths with a \??\ prefix in path/filepath

CVSS

Система общей оценки уязвимостей

Оценка	Severity	Версия	Базовый вектор
7.8	HIGH	2.0	AV:N/AC:L/Au:N/C:C/I:N/A:N
7.5	HIGH	3.0	AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Идентификаторы других систем описаний уязвимостей

CVE-2023-45283

Вендор:	Novell Inc. Сообщество свободного программного обеспечения ООО «Ред Софт» NetApp Inc. The Go Project The Linux Foundation
Тип ПО:	Операционная система Сетевое средство Сетевое программное средство Прикладное ПО информационных систем
Наименование ПО:	OpenSUSE Leap Debian GNU/Linux openSUSE Tumbleweed РЕД ОС Suse Linux Enterprise Server Suse Linux Enterprise Desktop SUSE Linux Enterprise Server for SAP Applications SUSE Manager Retail Branch Server SUSE Manager Proxy SUSE Manager Server SUSE Linux Enterprise High Performance Computing SUSE Linux Enterprise Module for Development Tools Cloud Insights Telegraf Agent NetApp Kubernetes Monitoring Operator Go Helm
Версия ПО:	15.5 (OpenSUSE Leap) 10 (Debian GNU/Linux) - (openSUSE Tumbleweed) 11 (Debian GNU/Linux) 12 (Debian GNU/Linux) 7.3 (РЕД ОС) 15.4 (OpenSUSE Leap) 15 SP4 (Suse Linux Enterprise Server) 15 SP4 (Suse Linux Enterprise Desktop) 15 SP4 (SUSE Linux Enterprise Server for SAP Applications) 4.3 (SUSE Manager Retail Branch Server) 4.3 (SUSE Manager Proxy) 4.3 (SUSE Manager Server) 15 SP4 (SUSE Linux Enterprise High Performance Computing) 15 SP4 (SUSE Linux Enterprise Module for Development Tools) 15 SP5 (SUSE Linux Enterprise Server for SAP Applications) 15 SP5 (Suse Linux Enterprise Server) 15 SP5 (Suse Linux Enterprise Desktop) 15 SP5 (SUSE Linux Enterprise High Performance Computing) 15 SP5 (SUSE Linux Enterprise Module for Development Tools) - (Cloud Insights Telegraf Agent) - (NetApp Kubernetes Monitoring Operator) до 1.20.11 (Go) от 1.21.0 до 1.21.4 (Go) 3.13.2 (Helm)
ОС и аппаратные платформы:	OpenSUSE Leap (15.5) Windows (-) Debian GNU/Linux (10) openSUSE Tumbleweed (-) Debian GNU/Linux (11) Debian GNU/Linux (12) РЕД ОС (7.3) OpenSUSE Leap (15.4) Suse Linux Enterprise Server (15 SP4) Suse Linux Enterprise Desktop (15 SP4) SUSE Linux Enterprise Server for SAP Applications (15 SP4) SUSE Linux Enterprise Server for SAP Applications (15 SP5) Suse Linux Enterprise Server (15 SP5) Suse Linux Enterprise Desktop (15 SP5)
Ссылки на источники:	https://go.dev/cl/540277 https://go.dev/issue/63713 https://pkg.go.dev/vuln/GO-2023-2185 https://groups.google.com/g/golang-announce/c/4tU8LZfBFkY https://security.netapp.com/advisory/ntap-20231214-0008/ https://security-tracker.debian.org/tracker/CVE-2023-45283 https://www.suse.com/security/cve/CVE-2023-45283.html http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.

Каталог уязвимостей - БДУ ФСТЭК - BDU:2023-09013