«ФСТЭК России»

Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»
  1. Главная
  2. Список уязвимостей
  3. BDU:2023-00291

BDU:2023-00291: Уязвимость программного многоуровневого коммутатора Open vSwitch, связанная с потерей значимости целого числа, позволяющая нарушителю выполнить произвольный код в целевой системе

Описание уязвимости Уязвимость программного многоуровневого коммутатора Open vSwitch связана с потерей значимости целого числа при разборе Auto Attach TLV. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, отправлять специально созданные сообщения LLDP в уязвимую систему, запускать целочисленную потерю значимости и выполнять произвольный код в целевой системе
Вендор Red Hat Inc., Сообщество свободного программного обеспечения, ООО «Ред Софт», ООО «РусБИТех-Астра», АО "НППКТ"
Наименование ПО Red Hat Enterprise Linux, Debian GNU/Linux, Red Hat OpenStack Platform, OpenShift Container Platform, Fast Datapath, РЕД ОС (запись в едином реестре российских программ №3751), Astra Linux Special Edition (запись в едином реестре российских программ №369), Open vSwitch, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО
  • 7 (Red Hat Enterprise Linux)
  • 10 (Debian GNU/Linux)
  • 13.0 (Queens) (Red Hat OpenStack Platform)
  • 4 (OpenShift Container Platform)
  • - (Fast Datapath)
  • 11 (Debian GNU/Linux)
  • 7.3 (РЕД ОС)
  • 1.7 (Astra Linux Special Edition)
  • 4.7 (Astra Linux Special Edition)
  • до 2.13.10 (Open vSwitch)
  • от 2.14.0 до 2.14.8 (Open vSwitch)
  • от 2.15.0 до 2.15.7 (Open vSwitch)
  • от 2.16.0 до 2.16.6 (Open vSwitch)
  • от 2.17.0 до 2.17.5 (Open vSwitch)
  • от 3.0.0 до 3.0.3 (Open vSwitch)
  • до 2.7 (ОСОН ОСнова Оnyx)
Тип ПО Операционная система, ПО программно-аппаратного средства, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Тип ошибки Чтение за границами буфера, Целочисленная потеря значимости (простой или циклический сдвиг)
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 10.01.2023
Базовый вектор уязвимости
Уровень опасности уязвимости Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Open vSwitch:
https://github.com/openvswitch/ovs/pull/405
https://mail.openvswitch.org/pipermail/ovs-dev/2022-December/400596.html

Для РЕД ОС:
https://redos.red-soft.ru/support/secure/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-4338

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-4338

Для ОСОН ОСнова Оnyx (версия 2.7):
Обновление программного обеспечения openvswitch до версии 2.10.7+ds1-0+deb10u3

Для ОС Astra Linux Special Edition 1.7:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0426SE17

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0727SE47
Статус уязвимости Подтверждена производителем
Наличие эксплойта Существует
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения

Угрозы: 222 Уязвимости: 50400 Последнее обновление: 27.09.2023

© ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

Яндекс.Метрика