BDU:2023-06960: Уязвимость библиотеки Хerces C++ платформы совместного управления ИТ-оборудованием BigFix Platform, позволяющая нарушителю выполнить произвольный код

Описание уязвимости Уязвимость библиотеки Хerces C++ платформы совместного управления ИТ-оборудованием BigFix Platform вызвана целочисленным переполнением. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путем отправки специально сформированного HTTP-запроса
Вендор Red Hat Inc., ООО «Ред Софт», Apache Software Foundation, HCL Technologies, АО "НППКТ"
Наименование ПО Red Hat Enterprise Linux, РЕД ОС (запись в едином реестре российских программ №3751), Xerces C++, BigFix Platform, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО 6 (Red Hat Enterprise Linux), 7 (Red Hat Enterprise Linux), 7.3 (РЕД ОС), 3.2.3 (Xerces C++), от 9.0.0 до 9.5.23 (BigFix Platform), от 10.0.0 до 10.0.10 (BigFix Platform), до 2.10 (ОСОН ОСнова Оnyx)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Тип ошибки Целочисленное переполнение или циклический сдвиг
Идентификатор типа ошибки CWE-190
Класс уязвимости Уязвимость кода
Дата выявления 11.10.2023
Базовый вектор уязвимости
  • CVSS 2.0: AV:N/AC:L/Au:S/C:P/I:P/A:C
  • CVSS 3.0: AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:H
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,2)
Возможные меры по устранению уязвимости
Компенсирующие меры:
- использование средств межсетевого экранирования и средств обнаружения и предотвращения вторжений (IDS/IPS) для отслеживания подключений к устройству;
- ограничение доступа к устройству из внешних сетей (Интернет);
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Использование рекомендаций:
Для BigFix Platform:
https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0107791

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2023-37536

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОСОН ОСнова Оnyx (версия 2.10):
Обновление программного обеспечения xerces-c до версии 3.2.2+debian-1+deb10u2
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются