BDU:2023-03596

Опубликовано: 15 июн. 2023

Источник: fstec

CVSS3: 6.5

CVSS2: 7.8

EPSS Низкий

Описание

Уязвимость файла src/InitExt.c библиотеки предоставления клиентского API для X Window System libX11 связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Вендор

ООО «РусБИТех-Астра»

Novell Inc.

Red Hat Inc.

Canonical Ltd.

Сообщество свободного программного обеспечения

ООО «Ред Софт»

АО «ИВК»

Fedora Project

АО «НТЦ ИТ РОСА»

X.Org Foundation

АО "НППКТ"

Наименование ПО

Astra Linux Special Edition

Suse Linux Enterprise Desktop

SUSE Linux Enterprise Server for SAP Applications

OpenSUSE Leap

Suse Linux Enterprise Server

Red Hat Enterprise Linux

Ubuntu

Debian GNU/Linux

РЕД ОС

Альт 8 СП

openSUSE Leap Micro

Fedora

ROSA Virtualization

Xlib (libX11)

РОСА ХРОМ

ОСОН ОСнова Оnyx

АЛЬТ СП 10

Версия ПО

1.6 «Смоленск» (Astra Linux Special Edition)

12 SP3 (Suse Linux Enterprise Desktop)

12 SP4 (Suse Linux Enterprise Desktop)

12 SP2 (SUSE Linux Enterprise Server for SAP Applications)

12 SP3 (SUSE Linux Enterprise Server for SAP Applications)

12 SP4 (SUSE Linux Enterprise Server for SAP Applications)

15.5 (OpenSUSE Leap)

12 SP3 (Suse Linux Enterprise Server)

12 SP4 (Suse Linux Enterprise Server)

8 (Red Hat Enterprise Linux)

12 SP2-BCL (Suse Linux Enterprise Server)

12 SP2-ESPOS (Suse Linux Enterprise Server)

12-LTSS (Suse Linux Enterprise Server)

12 SP1 (SUSE Linux Enterprise Server for SAP Applications)

15 (SUSE Linux Enterprise Server for SAP Applications)

15 SP1 (SUSE Linux Enterprise Server for SAP Applications)

12 SP1-LTSS (Suse Linux Enterprise Server)

12 SP2-LTSS (Suse Linux Enterprise Server)

12 SP3-LTSS (Suse Linux Enterprise Server)

14.04 ESM (Ubuntu)

12 SP3-BCL (Suse Linux Enterprise Server)

12 SP5 (Suse Linux Enterprise Server)

12 SP5 (SUSE Linux Enterprise Server for SAP Applications)

10 (Debian GNU/Linux)

12 SP3-ESPOS (Suse Linux Enterprise Server)

12 SP2 (Suse Linux Enterprise Desktop)

12 SP2 (Suse Linux Enterprise Server)

15-LTSS (Suse Linux Enterprise Server)

12 SP1 (Suse Linux Enterprise Desktop)

12 SP1 (Suse Linux Enterprise Server)

12 (SUSE Linux Enterprise Server for SAP Applications)

20.04 LTS (Ubuntu)

12 (Suse Linux Enterprise Desktop)

12 SP4-ESPOS (Suse Linux Enterprise Server)

12 SP4-LTSS (Suse Linux Enterprise Server)

15 SP1-BCL (Suse Linux Enterprise Server)

15 SP1-LTSS (Suse Linux Enterprise Server)

16.04 ESM (Ubuntu)

15 SP1 (Suse Linux Enterprise Server)

11 (Debian GNU/Linux)

12 (Suse Linux Enterprise Server)

7.3 (РЕД ОС)

1.7 (Astra Linux Special Edition)

15.4 (OpenSUSE Leap)

15 SP3 (Suse Linux Enterprise Server)

15 SP3 (SUSE Linux Enterprise Server for SAP Applications)

15 SP3 (Suse Linux Enterprise Desktop)

15 SP2 (Suse Linux Enterprise Server)

15 SP2 (SUSE Linux Enterprise Server for SAP Applications)

- (Альт 8 СП)

15 SP4 (Suse Linux Enterprise Server)

15 SP2 (Suse Linux Enterprise Desktop)

15 SP4 (Suse Linux Enterprise Desktop)

15 (Suse Linux Enterprise Server)

15 SP2-BCL (Suse Linux Enterprise Server)

15 SP4 (SUSE Linux Enterprise Server for SAP Applications)

22.04 LTS (Ubuntu)

9 (Red Hat Enterprise Linux)

15 SP2-LTSS (Suse Linux Enterprise Server)

15 SP1 (Suse Linux Enterprise Desktop)

15 (Suse Linux Enterprise Desktop)

4.7 (Astra Linux Special Edition)

22.10 (Ubuntu)

5.3 (openSUSE Leap Micro)

15 SP3-LTSS (Suse Linux Enterprise Server)

15 SP3-BCL (Suse Linux Enterprise Server)

38 (Fedora)

15 SP5 (SUSE Linux Enterprise Server for SAP Applications)

15 SP5 (Suse Linux Enterprise Server)

15 SP5 (Suse Linux Enterprise Desktop)

2.1 (ROSA Virtualization)

18.04 ESM (Ubuntu)

23.04 (Ubuntu)

5.4 (openSUSE Leap Micro)

до 1.8.6 (Xlib (libX11))

12.4 (РОСА ХРОМ)

до 2.8 (ОСОН ОСнова Оnyx)

- (АЛЬТ СП 10)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»

Novell Inc. Suse Linux Enterprise Desktop 12 SP3

Novell Inc. Suse Linux Enterprise Desktop 12 SP4

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4

Novell Inc. OpenSUSE Leap 15.5

Novell Inc. Suse Linux Enterprise Server 12 SP3

Novell Inc. Suse Linux Enterprise Server 12 SP4

Red Hat Inc. Red Hat Enterprise Linux 8

Novell Inc. Suse Linux Enterprise Server 12 SP2-BCL

Novell Inc. Suse Linux Enterprise Server 12 SP2-ESPOS

Novell Inc. Suse Linux Enterprise Server 12-LTSS

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP1

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP1

Novell Inc. Suse Linux Enterprise Server 12 SP1-LTSS

Novell Inc. Suse Linux Enterprise Server 12 SP2-LTSS

Novell Inc. Suse Linux Enterprise Server 12 SP3-LTSS

Canonical Ltd. Ubuntu 14.04 ESM

Novell Inc. Suse Linux Enterprise Server 12 SP3-BCL

Novell Inc. Suse Linux Enterprise Server 12 SP5

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5

Сообщество свободного программного обеспечения Debian GNU/Linux 10

Novell Inc. Suse Linux Enterprise Server 12 SP3-ESPOS

Novell Inc. Suse Linux Enterprise Desktop 12 SP2

Novell Inc. Suse Linux Enterprise Server 12 SP2

Novell Inc. Suse Linux Enterprise Server 15-LTSS

Novell Inc. Suse Linux Enterprise Desktop 12 SP1

Novell Inc. Suse Linux Enterprise Server 12 SP1

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12

Canonical Ltd. Ubuntu 20.04 LTS

Novell Inc. Suse Linux Enterprise Desktop 12

Novell Inc. Suse Linux Enterprise Server 12 SP4-ESPOS

Novell Inc. Suse Linux Enterprise Server 12 SP4-LTSS

Novell Inc. Suse Linux Enterprise Server 15 SP1-BCL

Novell Inc. Suse Linux Enterprise Server 15 SP1-LTSS

Canonical Ltd. Ubuntu 16.04 ESM

Novell Inc. Suse Linux Enterprise Server 15 SP1

Сообщество свободного программного обеспечения Debian GNU/Linux 11

Novell Inc. Suse Linux Enterprise Server 12

ООО «Ред Софт» РЕД ОС 7.3

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7

Novell Inc. OpenSUSE Leap 15.4

Novell Inc. Suse Linux Enterprise Server 15 SP3

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP3

Novell Inc. Suse Linux Enterprise Desktop 15 SP3

Novell Inc. Suse Linux Enterprise Server 15 SP2

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP2

АО «ИВК» Альт 8 СП -

Novell Inc. Suse Linux Enterprise Server 15 SP4

Novell Inc. Suse Linux Enterprise Desktop 15 SP2

Novell Inc. Suse Linux Enterprise Desktop 15 SP4

Novell Inc. Suse Linux Enterprise Server 15

Novell Inc. Suse Linux Enterprise Server 15 SP2-BCL

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP4

Canonical Ltd. Ubuntu 22.04 LTS

Red Hat Inc. Red Hat Enterprise Linux 9

Novell Inc. Suse Linux Enterprise Server 15 SP2-LTSS

Novell Inc. Suse Linux Enterprise Desktop 15 SP1

Novell Inc. Suse Linux Enterprise Desktop 15

ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7

Canonical Ltd. Ubuntu 22.10

Novell Inc. openSUSE Leap Micro 5.3

Novell Inc. Suse Linux Enterprise Server 15 SP3-LTSS

Novell Inc. Suse Linux Enterprise Server 15 SP3-BCL

Fedora Project Fedora 38

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP5

Novell Inc. Suse Linux Enterprise Server 15 SP5

Novell Inc. Suse Linux Enterprise Desktop 15 SP5

АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1

Canonical Ltd. Ubuntu 18.04 ESM

Canonical Ltd. Ubuntu 23.04

Novell Inc. openSUSE Leap Micro 5.4

АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4

АО "НППКТ" ОСОН ОСнова Оnyx до 2.8

АО «ИВК» АЛЬТ СП 10 -

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Для libX11:

https://lists.x.org/archives/xorg-announce/2023-June/003406.html

https://lists.x.org/archives/xorg-announce/2023-June/003407.html

Для РедОС:

http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для программных продуктов Debian GNU/Linux:

https://security-tracker.debian.org/tracker/CVE-2023-3138

Для программных продуктов Red Hat Inc.:

https://access.redhat.com/security/cve/cve-2023-3138

Для программных продуктов Ubuntu:

https://ubuntu.com/security/CVE-2023-3138

https://ubuntu.com/security/notices/USN-6168-1

https://ubuntu.com/security/notices/USN-6168-2

Для программных продуктов Novell Inc.:

https://www.suse.com/security/cve/CVE-2023-3138.html

Для программных продуктов Fedora:

https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/UUXUCO4TEMFOPZZOBXPJWMHHLY7GSCVR/

Для ОСОН ОСнова Оnyx:

Обновление программного обеспечения libx11 до версии 2:1.6.7-1+deb10u3

Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства

Для ОС Astra Linux Special Edition 1.7:

обновить пакет libx11 до 2:1.8.7-1astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для Astra Linux 1.6 «Смоленск»:

обновить пакет libx11 до 2:1.8.7-1astra3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16

Для операционной системы РОСА ХРОМ:https://abf.rosalinux.ru/advisories/ROSA-SA-2024-2343

Для Astra Linux Special Edition 4.7:

обновить пакет libx11 до 2:1.8.7-1astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2850

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-3138
CVE

EPSS

Процентиль: 41%

0.00187

Низкий

6.5 Medium

CVSS3

7.8 High

CVSS2

Связанные уязвимости

CVE-2023-3138

CVSS3: 7.5

ubuntu

около 2 лет назад

A vulnerability was found in libX11. The security flaw occurs because the functions in src/InitExt.c in libX11 do not check that the values provided for the Request, Event, or Error IDs are within the bounds of the arrays that those functions write to, using those IDs as array indexes. They trust that they were called with values provided by an Xserver adhering to the bounds specified in the X11 protocol, as all X servers provided by X.Org do. As the protocol only specifies a single byte for these values, an out-of-bounds value provided by a malicious server (or a malicious proxy-in-the-middle) can only overwrite other portions of the Display structure and not write outside the bounds of the Display structure itself, possibly causing the client to crash with this memory corruption.

CVE-2023-3138

CVSS3: 7.3

redhat

около 2 лет назад

CVE-2023-3138

CVSS3: 7.5

nvd

около 2 лет назад

CVE-2023-3138

CVSS3: 7.5

msrc

около 2 лет назад

Описание отсутствует

CVE-2023-3138

CVSS3: 7.5

debian

около 2 лет назад

A vulnerability was found in libX11. The security flaw occurs because ...

EPSS

Процентиль: 41%

0.00187

Низкий

6.5 Medium

CVSS3

7.8 High

CVSS2