Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-05819

Опубликовано: 17 июл. 2023
Источник: fstec
CVSS3: 8.8
CVSS2: 10
EPSS Средний

Описание

Уязвимость интерфейса утилиты командной строки cURL связана с выделением неограниченной памяти при обработке HTTP-заголовков. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

АО «ИВК»
Fedora Project
Canonical Ltd.
Дэниел Стенберг
АО "НППКТ"
Project Harbor
ООО «Открытая мобильная платформа»

Наименование ПО

Альт 8 СП
Fedora
Ubuntu
cURL
АЛЬТ СП 10
ОСОН ОСнова Оnyx
harbor
ОС Аврора

Версия ПО

- (Альт 8 СП)
38 (Fedora)
23.04 (Ubuntu)
от 7.84.0 до 8.2.1 включительно (cURL)
- (АЛЬТ СП 10)
до 2.9 (ОСОН ОСнова Оnyx)
2.7.0 (harbor)
до 5.1.1 включительно (ОС Аврора)
до 5.1.1 включительно (ОС Аврора)
до 5.1.1 включительно (ОС Аврора)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

АО «ИВК» Альт 8 СП -
Fedora Project Fedora 38
Canonical Ltd. Ubuntu 23.04
АО «ИВК» АЛЬТ СП 10 -
АО "НППКТ" ОСОН ОСнова Оnyx до 2.9
ООО «Открытая мобильная платформа» ОС Аврора до 5.1.1 включительно
ООО «Открытая мобильная платформа» ОС Аврора до 5.1.1 включительно
ООО «Открытая мобильная платформа» ОС Аврора до 5.1.1 включительно

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для cURLl:
https://github.com/curl/curl/commit/3ee79c1674fd6f9
https://github.com/curl/curl/pull/11582
https://curl.se/docs/CVE-2023-38039.html
https://curl.se/download.html
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TEAWTYHC3RT6ZRS5OZRHLAIENVN6CCIS/
Для Ubuntu:
https://ubuntu.com/security/notices/USN-6363-1
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения curl до версии 7.88.1-10+deb12u4osnova1
Компенсирующие меры для Harbor :
- отключение/удаление неиспользуемых учетных записей пользователей;
- минимизация пользовательских привилегий;
- использование антивирусных средств защиты;
- контроль действий пользователей.
Для ОС Аврора:
https://cve.omp.ru/bb25402

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 94%
0.14467
Средний

8.8 High

CVSS3

10 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2023-38039

CVSS3: 7.5
ubuntu
почти 2 года назад

When curl retrieves an HTTP response, it stores the incoming headers so that they can be accessed later via the libcurl headers API. However, curl did not have a limit in how many or how large headers it would accept in a response, allowing a malicious server to stream an endless series of headers and eventually cause curl to run out of heap memory.

redhat логотип

CVE-2023-38039

CVSS3: 7.5
redhat
почти 2 года назад

When curl retrieves an HTTP response, it stores the incoming headers so that they can be accessed later via the libcurl headers API. However, curl did not have a limit in how many or how large headers it would accept in a response, allowing a malicious server to stream an endless series of headers and eventually cause curl to run out of heap memory.

nvd логотип

CVE-2023-38039

CVSS3: 7.5
nvd
почти 2 года назад

When curl retrieves an HTTP response, it stores the incoming headers so that they can be accessed later via the libcurl headers API. However, curl did not have a limit in how many or how large headers it would accept in a response, allowing a malicious server to stream an endless series of headers and eventually cause curl to run out of heap memory.

msrc логотип

CVE-2023-38039

msrc
больше 1 года назад

Hackerone: CVE-2023-38039 HTTP headers eat all memory

debian логотип

CVE-2023-38039

CVSS3: 7.5
debian
почти 2 года назад

When curl retrieves an HTTP response, it stores the incoming headers s ...

EPSS

Процентиль: 94%
0.14467
Средний

8.8 High

CVSS3

10 Critical

CVSS2