Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

BDU:2024-00898

CVSS: 6.3

22.06.2023

Уязвимость функции RGWPostObj_ObjStore_S3::get_params() (rgw_rest_s3.cc) службы RGW системы хранения данных Ceph, позволяющая нарушителю обойти ограничения безопасности и загрузить произвольные файлы

Уязвимость функции RGWPostObj_ObjStore_S3::get_params() (rgw_rest_s3.cc) службы RGW системы хранения данных Ceph связана с недостатками разграничения доступа при обработке ключей корзины. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти ограничения безопасности и загрузить произвольные файлы

Статус уязвимости:	Подтверждена производителем Уязвимость устранена
Дата выявления:	22.06.2023
Класс уязвимости:	Уязвимость архитектуры
Наличие эксплойта:	Данные уточняются
Способ эксплуатации:	Нарушение авторизации
Способ устранения:	Нет данных
Меры по устранению:	Использование рекомендаций: Для Ceph: https://tracker.ceph.com/issues/63004 https://github.com/ceph/ceph/pull/53714 https://github.com/ceph/ceph/commit/100d81aa060f061271499f1fa28dbdc06de443fd Для Ubuntu: https://ubuntu.com/security/notices/USN-6613-1 Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2023-43040 Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2023-43040 Для ОСОН ОСнова Оnyx:Обновление программного обеспечения ceph до версии 12.2.11+dfsg1.repack2-2.1+deb10u1.osnova1 Для ОС Astra Linux: обновить пакет ceph до 16.2.10+ds-5.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17 Для Astra Linux Special Edition 4.7 для архитектуры ARM: обновить пакет ceph до 16.2.10+ds-5.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE

Идентификатор	Описание
CWE-264	Уязвимость в управлении доступом, привилегиями и разрешениями
CWE-284	CWE-284 Improper Access Control

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
CVE-2023-43040	IBM Spectrum Fusion HCI improper access control

CVSS

Система общей оценки уязвимостей

Оценка	Severity	Версия	Базовый вектор
6.5	MEDIUM	2.0	AV:N/AC:L/Au:S/C:P/I:P/A:P
6.3	MEDIUM	3.0	AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L

Идентификаторы других систем описаний уязвимостей

CVE-2023-43040

Вендор:	Canonical Ltd. Сообщество свободного программного обеспечения Red Hat Inc. ООО «РусБИТех-Астра» АО "НППКТ"
Тип ПО:	Операционная система Прикладное ПО информационных систем Сетевое программное средство
Наименование ПО:	Ubuntu Debian GNU/Linux Red Hat Ceph Storage Astra Linux Special Edition Red Hat Openshift Data Foundation Red Hat Openshift Container Storage ОСОН ОСнова Оnyx Ceph
Версия ПО:	14.04 ESM (Ubuntu) 10 (Debian GNU/Linux) 20.04 LTS (Ubuntu) 4 (Red Hat Ceph Storage) 16.04 ESM (Ubuntu) 11 (Debian GNU/Linux) 12 (Debian GNU/Linux) 1.7 (Astra Linux Special Edition) 4 (Red Hat Openshift Data Foundation) 4 (Red Hat Openshift Container Storage) 22.04 LTS (Ubuntu) 4.7 (Astra Linux Special Edition) 5 (Red Hat Ceph Storage) 18.04 ESM (Ubuntu) 6.1 (Red Hat Ceph Storage) 23.10 (Ubuntu) до 2.9 (ОСОН ОСнова Оnyx) до 19.0.0 (Ceph)
ОС и аппаратные платформы:	Ubuntu (14.04 ESM) Debian GNU/Linux (10) Ubuntu (20.04 LTS) Ubuntu (16.04 ESM) Debian GNU/Linux (11) Debian GNU/Linux (12) Astra Linux Special Edition (1.7) Ubuntu (22.04 LTS) Astra Linux Special Edition (4.7) Ubuntu (18.04 ESM) Ubuntu (23.10) ОСОН ОСнова Оnyx (до 2.9)
Ссылки на источники:	https://groups.google.com/g/linux.debian.bugs.dist/c/CEsNRLSLjdk https://github.com/ceph/ceph/pull/53714 https://github.com/ceph/ceph/pull/53714/commits/98bfb71cb38899333deb58dd2562037450fd7fa8 https://packetstormsecurity.com/files/cve/CVE-2023-43040/page1/ https://ubuntu.com/security/notices/USN-6613-1 https://www.openwall.com/lists/oss-security/2023/09/26/10 https://docs.ceph.com/en/latest/cephadm/services/rgw/ https://bugzilla.redhat.com/show_bug.cgi?id=2216855 https://vuldb.com/?id.240735 https://seclists.org/oss-sec/2023/q3/239 https://access.redhat.com/security/cve/cve-2023-43040 https://security-tracker.debian.org/tracker/CVE-2023-43040 https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.9/ https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17 https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.

Каталог уязвимостей - БДУ ФСТЭК - BDU:2024-00898

BDU:2024-00898

Идентификатор типа ошибки

Идентификаторы CVE уязвимостей

CVSS

Идентификаторы других систем описаний уязвимостей