Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-03803

Опубликовано: 08 мая 2023
Источник: fstec
CVSS3: 5.3
CVSS2: 5
EPSS Низкий

Описание

Уязвимость кроссплатформенного фреймворка для разработки программного обеспечения Qt связана с передачей защищаемой информации в незашифрованном виде. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, оказать воздействие на целостность данных

Вендор

ООО «РусБИТех-Астра»
Novell Inc.
ООО «Ред Софт»
The Qt Company
Kramer Electronics Ltd.
АО "НППКТ"

Наименование ПО

Astra Linux Special Edition
openSUSE Tumbleweed
РЕД ОС
SUSE Enterprise Storage
Suse Linux Enterprise Server
Suse Linux Enterprise Desktop
SUSE Linux Enterprise High Performance Computing
SUSE Linux Enterprise Module for Basesystem
Qt
SUSE Linux Enterprise Module for Desktop Applications
Kramer VIA
ОСОН ОСнова Оnyx

Версия ПО

1.6 «Смоленск» (Astra Linux Special Edition)
- (openSUSE Tumbleweed)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
7.1 (SUSE Enterprise Storage)
4.7 (Astra Linux Special Edition)
15 SP5 (Suse Linux Enterprise Server)
15 SP5 (Suse Linux Enterprise Desktop)
15 SP5 (SUSE Linux Enterprise High Performance Computing)
15 SP5 (SUSE Linux Enterprise Module for Basesystem)
до 5.15.14 (Qt)
от 6.0.0 до 6.2.9 (Qt)
от 6.3.0 до 6.5.1 (Qt)
15 SP5 (SUSE Linux Enterprise Module for Desktop Applications)
4.0.1.1328 (Kramer VIA)
до 2.11 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Novell Inc. openSUSE Tumbleweed -
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
Novell Inc. Suse Linux Enterprise Server 15 SP5
Novell Inc. Suse Linux Enterprise Desktop 15 SP5
АО "НППКТ" ОСОН ОСнова Оnyx до 2.11

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению уязвимости

Для Qt:
использование рекомендаций производителя: https://github.com/qt/qtbase/commit/1b736a815be0222f4b24289cf17575fc15707305
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2023-32762.html
Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0630SE17MD
Компенсирующие меры для Kramer VIA:
- использование антивирусных средств защиты;
- мониторинг действий пользователей;
- запуск приложений от имени пользователя с минимальными возможными привилегиями в операционной системе;
- применение систем обнаружения и предотвращения вторжений.
Для ОС Astra Linux Special Edition для архитектуры ARM 4.7:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0907SE47
Для Astra Linux 1.6 «Смоленск»:
обновить пакет qtbase-opensource-src до 5.11.0-0astra72 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16
Для ОСОН ОСнова Оnyx (2.11):
Обновление программного обеспечения qtbase-opensource-src до версии 5.11.3+dfsg1.repack-1+deb10u6.osnova1
Для РедОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-qt5/?sphrase_id=644294

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 31%
0.00116
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2023-32762

CVSS3: 5.3
ubuntu
около 2 лет назад

An issue was discovered in Qt before 5.15.14, 6.x before 6.2.9, and 6.3.x through 6.5.x before 6.5.1. Qt Network incorrectly parses the strict-transport-security (HSTS) header, allowing unencrypted connections to be established, even when explicitly prohibited by the server. This happens if the case used for this header does not exactly match.

nvd логотип

CVE-2023-32762

CVSS3: 5.3
nvd
около 2 лет назад

An issue was discovered in Qt before 5.15.14, 6.x before 6.2.9, and 6.3.x through 6.5.x before 6.5.1. Qt Network incorrectly parses the strict-transport-security (HSTS) header, allowing unencrypted connections to be established, even when explicitly prohibited by the server. This happens if the case used for this header does not exactly match.

msrc логотип

CVE-2023-32762

CVSS3: 5.3
msrc
около 2 лет назад

Описание отсутствует

debian логотип

CVE-2023-32762

CVSS3: 5.3
debian
около 2 лет назад

An issue was discovered in Qt before 5.15.14, 6.x before 6.2.9, and 6. ...

redos логотип

ROS-20250121-11

CVSS3: 7.5
redos
5 месяцев назад

Множественные уязвимости qt5

EPSS

Процентиль: 31%
0.00116
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2