Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-05106

Опубликовано: 10 мая 2023
Источник: fstec
CVSS3: 6.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость функции QSvgFont (Qt SVG) кроссплатформенного фреймворка для разработки программного обеспечения Qt связана с возможностью обхода каталога. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Вендор

Red Hat Inc.
ООО «РусБИТех-Астра»
Сообщество свободного программного обеспечения
ООО «Ред Софт»
Fedora Project
The Qt Company
АО «НТЦ ИТ РОСА»
Kramer Electronics Ltd.
АО "НППКТ"

Наименование ПО

Red Hat Enterprise Linux
Astra Linux Special Edition
Debian GNU/Linux
РЕД ОС
Fedora
Qt
РОСА ХРОМ
Kramer VIA
ОСОН ОСнова Оnyx

Версия ПО

7 (Red Hat Enterprise Linux)
1.6 «Смоленск» (Astra Linux Special Edition)
8 (Red Hat Enterprise Linux)
10 (Debian GNU/Linux)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
9 (Red Hat Enterprise Linux)
4.7 (Astra Linux Special Edition)
38 (Fedora)
до 5.15.14 (Qt)
от 6.0.0 до 6.2.9 (Qt)
от 6.3.0 до 6.5.1 (Qt)
12.4 (РОСА ХРОМ)
4.0.1.1328 (Kramer VIA)
до 2.9 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 7
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Red Hat Inc. Red Hat Enterprise Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
Red Hat Inc. Red Hat Enterprise Linux 9
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
Fedora Project Fedora 38
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4
АО "НППКТ" ОСОН ОСнова Оnyx до 2.9

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению уязвимости

Компенсирующие меры для Kramer VIA:
- использование антивирусных средств защиты;
- мониторинг действий пользователей;
- запуск приложений от имени пользователя с минимальными возможными привилегиями в операционной системе;
- применение систем обнаружения и предотвращения вторжений.
Использование рекомендаций:
Для Qt:
https://codereview.qt-project.org/c/qt/qtsvg/+/474093
Для Red Hat Enterprise Linux^
https://access.redhat.com/security/cve/cve-2023-32373
Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2023/08/msg00028.html
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/UE3IHQZCEUFVOPWG75V2HDKXNUZBB4FX/
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения qt4-x11 до версии 4:4.8.7+dfsg.repack-18+deb10u2.osnova1
Для ОС Astra Linux:
- обновить пакет qt4-x11 до 4:4.8.7+dfsg-20astra3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17
- обновить пакет qtsvg-opensource-src до 5.15.2-0astra5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17
Для Astra Linux Special Edition 1.6 «Смоленск»::
- обновить пакет qt4-x11 до 4:4.8.7+dfsg-11astra9 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16
- обновить пакет qtsvg-opensource-src до 5.11.0-0astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16
Для Astra Linux Special Edition 4.7 для архитектуры ARM:
- обновить пакет qt4-x11 до 4:4.8.7+dfsg-20astra3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47
- обновить пакет qtsvg-opensource-src до 5.15.2-0astra5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2677

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 20%
0.00063
Низкий

6.5 Medium

CVSS3

7.8 High

CVSS2

Связанные уязвимости

redos логотип

ROS-20250203-01

CVSS3: 6.5
redos
5 месяцев назад

Уязвимость qt5-qtsvg

ubuntu логотип

CVE-2023-32573

CVSS3: 6.5
ubuntu
около 2 лет назад

In Qt before 5.15.14, 6.0.x through 6.2.x before 6.2.9, and 6.3.x through 6.5.x before 6.5.1, QtSvg QSvgFont m_unitsPerEm initialization is mishandled.

redhat логотип

CVE-2023-32573

CVSS3: 6.5
redhat
около 2 лет назад

In Qt before 5.15.14, 6.0.x through 6.2.x before 6.2.9, and 6.3.x through 6.5.x before 6.5.1, QtSvg QSvgFont m_unitsPerEm initialization is mishandled.

nvd логотип

CVE-2023-32573

CVSS3: 6.5
nvd
около 2 лет назад

In Qt before 5.15.14, 6.0.x through 6.2.x before 6.2.9, and 6.3.x through 6.5.x before 6.5.1, QtSvg QSvgFont m_unitsPerEm initialization is mishandled.

msrc логотип

CVE-2023-32573

CVSS3: 6.5
msrc
около 2 лет назад

Описание отсутствует

EPSS

Процентиль: 20%
0.00063
Низкий

6.5 Medium

CVSS3

7.8 High

CVSS2