Описание
Уязвимость функции parse_required_member() протокола сериализации данных protobuf-c связана с целочисленным переполнением. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код и привести систему к полной компрометации
Вендор
ООО «Ред Софт»
ООО «РусБИТех-Астра»
Fedora Project
АО «НТЦ ИТ РОСА»
Google Inc.
Наименование ПО
РЕД ОС
Astra Linux Special Edition
Fedora
ROSA Virtualization
protobuf-c
РОСА ХРОМ
Версия ПО
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
36 (Fedora)
37 (Fedora)
4.7 (Astra Linux Special Edition)
38 (Fedora)
2.1 (ROSA Virtualization)
до 1.4.1 (protobuf-c)
12.4 (РОСА ХРОМ)
Тип ПО
Операционная система
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
Fedora Project Fedora 36
Fedora Project Fedora 37
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
Fedora Project Fedora 38
АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,3)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для protobuf-c:
https://github.com/protobuf-c/protobuf-c/commit/ec3d900001a13ccdaa8aef996b34c61159c76217
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/EI4JZSHJXW7WOOTAQSV5SUCC5GE2GC2B/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/UGLZZYPOLI733DPETL444E3GY5KSS6LG/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/VNUEZZEPR2F6M67ANXLOPJX6AQL3TK4P/
Для ОС Astra Linux Special Edition 1.7 архитектуры x86-64:
обновить пакет protobuf-c до 1.3.3-1+ci202311091556+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0212SE17
Для системы управления средой виртуализации «ROSA Virtualization» : https://abf.rosalinux.ru/advisories/ROSA-SA-2024-2374
Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет protobuf-c до 1.3.3-1+ci202311091556+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2024-2397
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 5%
0.00024
Низкий
7.3 High
CVSS3
7.5 High
CVSS2
Связанные уязвимости
CVSS3: 5.5
ubuntu
около 2 лет назад
protobuf-c before 1.4.1 has an unsigned integer overflow in parse_required_member.
CVSS3: 6.2
redhat
около 2 лет назад
protobuf-c before 1.4.1 has an unsigned integer overflow in parse_required_member.
CVSS3: 5.5
nvd
около 2 лет назад
protobuf-c before 1.4.1 has an unsigned integer overflow in parse_required_member.
CVSS3: 5.5
debian
около 2 лет назад
protobuf-c before 1.4.1 has an unsigned integer overflow in parse_requ ...
EPSS
Процентиль: 5%
0.00024
Низкий
7.3 High
CVSS3
7.5 High
CVSS2