Описание уязвимости | Уязвимость программного многоуровневого коммутатора Open vSwitch связана с потерей значимости целого числа при разборе Auto Attach TLV. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, отправлять специально созданные сообщения LLDP в уязвимую систему, запускать целочисленную потерю значимости и выполнять произвольный код в целевой системе |
Вендор | Red Hat Inc., Сообщество свободного программного обеспечения, ООО «Ред Софт», ООО «РусБИТех-Астра», АО "НППКТ", АО «НТЦ ИТ РОСА» |
Наименование ПО | Red Hat Enterprise Linux, Debian GNU/Linux, Red Hat OpenStack Platform, OpenShift Container Platform, Fast Datapath, РЕД ОС (запись в едином реестре российских программ №3751), Astra Linux Special Edition (запись в едином реестре российских программ №369), Open vSwitch, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913), РОСА ХРОМ (запись в едином реестре российских программ №1607) |
Версия ПО | 7 (Red Hat Enterprise Linux), 10 (Debian GNU/Linux), 13.0 (Queens) (Red Hat OpenStack Platform), 4 (OpenShift Container Platform), - (Fast Datapath), 11 (Debian GNU/Linux), 7.3 (РЕД ОС), 1.7 (Astra Linux Special Edition), 4.7 (Astra Linux Special Edition), до 2.13.10 (Open vSwitch), от 2.14.0 до 2.14.8 (Open vSwitch), от 2.15.0 до 2.15.7 (Open vSwitch), от 2.16.0 до 2.16.6 (Open vSwitch), от 2.17.0 до 2.17.5 (Open vSwitch), от 3.0.0 до 3.0.3 (Open vSwitch), до 2.7 (ОСОН ОСнова Оnyx), 12.4 (РОСА ХРОМ) |
Тип ПО | Операционная система, ПО программно-аппаратного средства, Прикладное ПО информационных систем |
Операционные системы и аппаратные платформы |
|
Тип ошибки | Чтение за границами буфера |
Идентификатор типа ошибки | CWE-125 |
Класс уязвимости | Уязвимость кода |
Дата выявления | 10.01.2023 |
Базовый вектор уязвимости |
|
Уровень опасности уязвимости | Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10) Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8) |
Возможные меры по устранению уязвимости |
Использование рекомендаций:
Для Open vSwitch: https://github.com/openvswitch/ovs/commit/7490f281f09a8455c48e19b0cf1b99ab758ee4f4 https://github.com/openvswitch/ovs/pull/405 Для РЕД ОС: https://redos.red-soft.ru/support/secure/ Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2022-4337 Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2022-4337 Для ОСОН ОСнова Оnyx (версия 2.7): Обновление программного обеспечения openvswitch до версии 2.10.7+ds1-0+deb10u3 Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD Для Astra Linux Special Edition для архитектуры ARM для 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD Для операционной системы РОСА ХРОМ: https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2262 |
Статус уязвимости | Подтверждена производителем |
Наличие эксплойта | Существует |
Способ эксплуатации |
|
Способ устранения | Обновление программного обеспечения |
Информация об устранении | Уязвимость устранена |
Ссылки на источники |
https://github.com/openvswitch/ovs/commit/7490f281f09a8455c48e19b0cf1b99ab758ee4f4
https://github.com/openvswitch/ovs/pull/405
https://redos.red-soft.ru/support/secure/
https://access.redhat.com/security/cve/CVE-2022-4337
https://security-tracker.debian.org/tracker/CVE-2022-4337
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.7/
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD
https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2262
|
Идентификаторы других систем описаний уязвимостей |
|
Прочая информация | Данные уточняются |