Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-03876

Опубликовано: 12 мая 2023
Источник: fstec
CVSS3: 5.3
CVSS2: 5
EPSS Низкий

Описание

Уязвимость компонента QDnsLookup кроссплатформенного фреймворка для разработки программного обеспечения Qt связана с чтением за допустимыми границами буфера данных. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, вызвать отказ в обслуживании с помощью специально созданного ответа от DNS-сервера

Вендор

ООО «РусБИТех-Астра»
Сообщество свободного программного обеспечения
ООО «Ред Софт»
The Qt Company
АО "НППКТ"

Наименование ПО

Astra Linux Special Edition
Debian GNU/Linux
РЕД ОС
Qt
ОСОН ОСнова Оnyx

Версия ПО

1.6 «Смоленск» (Astra Linux Special Edition)
10 (Debian GNU/Linux)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
от 6.0.0 до 6.2.9 (Qt)
от 6.3.0 до 6.5.1 (Qt)
от 5.0.0 до 5.15.4 (Qt)
до 2.11 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО "НППКТ" ОСОН ОСнова Оnyx до 2.11

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению уязвимости

Для Qt:
использование рекомендаций производителя: https://codereview.qt-project.org/c/qt/qtbase/+/477644
Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2023-33285
Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0630SE17MD
Для ОС Astra Linux Special Edition для архитектуры ARM 4.7:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0907SE47
Для Astra Linux 1.6 «Смоленск»:
обновить пакет qtbase-opensource-src до 5.11.0-0astra72 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16
Для ОСОН ОСнова Оnyx (2.11):
Обновление программного обеспечения qtbase-opensource-src до версии 5.11.3+dfsg1.repack-1+deb10u6.osnova1
Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-qt5/?sphrase_id=644571

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 27%
0.00092
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2

Связанные уязвимости

redos логотип

ROS-20250121-11

CVSS3: 7.5
redos
5 месяцев назад

Множественные уязвимости qt5

ubuntu логотип

CVE-2023-33285

CVSS3: 5.3
ubuntu
около 2 лет назад

An issue was discovered in Qt 5.x before 5.15.14, 6.x before 6.2.9, and 6.3.x through 6.5.x before 6.5.1. QDnsLookup has a buffer over-read via a crafted reply from a DNS server.

redhat логотип

CVE-2023-33285

CVSS3: 5.3
redhat
около 2 лет назад

An issue was discovered in Qt 5.x before 5.15.14, 6.x before 6.2.9, and 6.3.x through 6.5.x before 6.5.1. QDnsLookup has a buffer over-read via a crafted reply from a DNS server.

nvd логотип

CVE-2023-33285

CVSS3: 5.3
nvd
около 2 лет назад

An issue was discovered in Qt 5.x before 5.15.14, 6.x before 6.2.9, and 6.3.x through 6.5.x before 6.5.1. QDnsLookup has a buffer over-read via a crafted reply from a DNS server.

debian логотип

CVE-2023-33285

CVSS3: 5.3
debian
около 2 лет назад

An issue was discovered in Qt 5.x before 5.15.14, 6.x before 6.2.9, an ...

EPSS

Процентиль: 27%
0.00092
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2